RFID装置とのデータ・アクセス制御
RFID装置(230)とのデータ・アクセスを制御する方法を開示する。それにより、RFID装置(230)がRFID読み取り装置(210b)と通信する前に、RFID読み出し装置(210b)は自身をRFID装置230に認証させる。RFID装置(230)は、物理的にクローン化不可能な機能(237)を備えられ、予め定められたチャレンジ信号(C1、C2)を受信すると、固有であるが予測できないレスポンス信号(R1、R2)を生成する。RFID装置の記録中に、第1のチャレンジ信号(C1)と一意的に関連付けられている第1のレスポンス信号(R1)は、RFID装置(230)のメモリー(238)に格納される。第1のチャレンジ信号(C1)は、RFID装置(230)との更なるデータ通信を開始するためのパスワードを表す。RFID読み取り装置が第2のチャレンジ信号(C2)でRFID装置(230)に問い合わせるとき、RFID装置(230)は、対応するレスポンス信号R2を、記録中に格納されたレスポンス(R1)と比較する。また、一致した場合のみ、自身の識別子(ID)で応答する。
【発明の詳細な説明】
【技術分野】
【0001】
本発明は、無線周波数認識(RFID:Radio Frequency Identification)装置の分野に関する。特に、本発明は、RFID装置の完全性を検査するため、及び/又はRFID装置を取り付けられた製品の完全性を検査するために、RFID装置への及びRFID装置からのデータ・アクセスを制御する方法に関する。
【0002】
更に、本発明は、RFID装置であって、物理的にクローン化不可能な機能を有するRFID装置に関する。RFID装置は、上述のRFID装置とのデータ・アクセスを制御する方法を実行するために用いられる。
【0003】
更に、本発明は、上述のRFID装置とのデータ・アクセスを制御する方法を実行するために用いられる、RFID読み取り装置及びRFIDシステムに関する。
【背景技術】
【0004】
無線周波数認識(RFID)は、例えばスマート・ラベル又はタグのような多数の用途に伴う未来技術である。RFID装置及びRFIDタグは、それぞれそれらの価格及び機能に大きな違いがある。低価格なものでは、読み取り機から電力を得るパッシブ型の低価格なタグがある。これらは計算、記憶、及び通信能力が限られている。このようなタグの主な用途は、電子製品コード(EPC:Electronic Product Codes)タグに用いられるバーコードの代用であり、また、例えば医薬品産業で製品が偽造されるのを防ぐための追跡ツールとしても用いられる。更に、RFIDタグは、製造されるべき各商品の扱いを個々に追跡するために、製造時及び/又は輸送時に用いられる。
【0005】
医薬の偽造は、今日では、製薬会社の収益にだけでなく、薬を消費する人々の安全にとっても具体的な脅威である。この脅威を考慮に入れ、製薬会社も政府機関省庁も行動を開始しており、医薬供給チェーンの全体に有意な安全レベルを提供しようとしている。米国では、責任のある食品医薬品局(FDA)は、不正開封できない包装のような解決策に加えて、薬又はそのラベルに組み込まれた、傾けると色が変わる特殊インク、ホログラム、指紋、及び化学的マーカーのような認証技術のような技術的解決策が必要なことを認識している。この観点から、FDAは、薬品偽造に対抗する更なるツールとしてRFID技術を使用することを推奨している。
【0006】
大量のシリアル番号付けを伴うRFID技術を展開するには、固有の識別コードIDを薬の各パレット、容器、包装に割り当てる必要がある。このIDは、製品を含む全ての販売及び取引に関するデータを記録するために用いられ、製薬からの「ePedigree(電子系統)」を調剤(薬の追跡)に提供し、薬の購入者が薬の信頼性を決定することを可能にする。RFIDタグと関連付けられた全データは、在庫管理、薬の転用防止、迅速な薬の不良品回収のような多数の他の用途で更に用いられる。実施は、容器及びパレットのレベルで開始し、徐々に容器、パレット、包装のレベルで全ての製品を含み、最終的には流通システムを通して製品レベルで薬の識別を可能にする。
【0007】
追跡技術は、正確な薬の系統を提供することにより、薬剤供給チェーンの完全性を保証するのに役立つ。現在の紙に基づく手順は、誤りや改竄を生じ易く、それぞれ製品レベルへの適用が現実的ではない。従って、(RFID技術を介した)電子追跡は、信頼性のある製品追跡のための最も有望な手法であるばかりか、在庫管理のような他の分野でも価格低下の利益がある。薬の認証は、購入時の薬の信頼性を決定するだけでなく、薬のePedigree(電子系統)を提供するために重要である。しかしながら、RFID技術を介した電子認証は、他の既存の認証技術と共に、薬の検証及び追跡のための一層信頼性のある基盤を提供する。
【0008】
特許文献1は、読み取り機と、情報を格納するメモリーを有するRFタグとを含むRFIDシステムでの通信を保証する方法を開示している。当該方法は、読み取り機からタグへメッセージを送信する段階を有する。メッセージに応じて、タグは、チャレンジ値を生成し、当該チャレンジ値を読み取り機へ送信する。読み取り機は、キー値に基づきチャレンジ値に数学的演算を実行し、チャレンジ・リプライを生成し、チャレンジ・リプライをタグへ送信する。タグは、キー値及び数学的演算に基づき、チャレンジ・レスポンスを独立に計算する。タグは、タグにより計算したチャレンジ・レスポンスを、読み取り機により送信されたチャレンジ・リプライと比較する。タグは、チャレンジ・レスポンスがチャレンジ・リプライと一致した場合に、読み取り機を認証する。
【0009】
特許文献2は、タグ・メモリーをパスワードで保護しているメモリー・タグ及び読み取り機を開示している。RFIDの形態のメモリー・タグは、データ、演算プログラム、及び現在のパスワードを格納するメモリーを有する。メモリー・タグは、データを要求しているタグ読み取り機からの信号に応じて、演算プログラムを実行し、現在のパスワードに依存するトークンを統合するために読み取った信号を検査する。トークンが読み取り信号の中で識別される場合、メモリー・タグは、要求されたデータを読み取り、当該データをユーザーに送信する。トークンは、パスワード自体か、又はパスワードの派生物である。タグ・パスワードは、製造時に設定されるか、又はタグから読み取り機への各通信の後に更新される。或いは、タグは、要求したデータを送信した後に、新たなパスワードを読み取り機から受信する。現在のトークン及び新たなパスワードは、暗号化された形式で送信される。
【0010】
非特許文献1は、薬が供給チェーンの中で組織から組織へ渡される場合の、薬の認証及び薬のePedigreeのための方式を提案している。系統の情報構造は、供給チェーンの全ての参加者に系統へのアクセス可能性を向上させる情報供給チェーン全体の中央レポジトリを用いる。供給チェーンの各組織から、電子製品コード(EPC)のような薬の系統に必要な情報は、このレポジトリに書き込まれる。薬の検証のための情報構造は、製造者にあるファイルを軸としている。ファイルのサブセットは、有効なEPCのみを有する。有効なEPCは、製造者のサーバーから抽出され、安全なインターネット・アクセスに掲載される。次に、他の供給チェーンの組織は、薬からEPCをスキャンし、EPCを製造者により掲載された有効なEPCと比較する。しかしながら、有効なEPCは製造者の管理から外れるので、法定基準に適合しない可能性がある。
【0011】
非特許文献2は、薬が供給チェーンを通過するときの、薬の認証及び薬の系統のための更なる方式を提案している。RFIDタグ認証は、認証された読み取り機により実行される。読み取り機は、固有のタグ識別子及び製薬会社の識別子にある製薬会社のデジタル署名を検証する。
【0012】
この署名は、薬の製造時に作成される。追跡機能は、読み取り機の助けを得て達成される。読み取り機は、基本的に日付と供給チェーンのイベントの時間である。「イベント・マーカー」をタグに書き込む。読み取り機は、読み取り機によりデジタル的に署名された関連するイベント情報をローカル・コンピューター・システムに伝達する。このシステムはまた、外部ネットワークに利用可能な情報を作成する。これは、タグ、供給チェーンのイベント、及び外部に分散しているネットワーク・データの間に、分離できないインクと検索インデックスを提供する。上述の方式は、真正タグが偽物の識別子で上書きされること、又は偽造タグが偽物の識別子に組み込まれるのを防ぐ。しかしながら、上述の方式は、有効な識別子が真正タグから読み取られ、偽造タグにコピーされ、そして偽造製品に取り付けられるのを防止できない。2以上の同一の識別子が供給チェーンの異なる点で見付かった場合、偽造が検出される。しかしながら、偽造製品は、真正製品より前に供給チェーンに入ってしまうので、偽造薬品が真正薬品として扱われてしまう。また、真正製品が単に供給チェーンから除去され、偽造製品により置換される場合、偽造が成功してしまう。置換した後、薬の検証は正しい識別子を備え、偽造タグから読み取られた値が真正タグからのものであるかのように、追跡は通常通りに続けられる。
【先行技術文献】
【特許文献】
【0013】
【特許文献1】米国特許第6842106 B2号明細書
【特許文献2】米国特許第2413195 A号明細書
【非特許文献】
【0014】
【非特許文献1】Robin Koh、Edmund W. Schuster、Indy Chackrabarti、Attilio Bellman、Securing the pharmaceutic supply chain、AutoID Center Massachusetts Institute of Technology、2003年6月、http://www.mitdatacenter.org/MIT-AUTOID-WH021.pdf
【非特許文献2】Joseph Pearson、Securing the Pharmaceutical Supply Chain with RFID and Public−key infrastructure Technologies、Texas Instruments Radio Frequency Identification Systems、2005年6月、http://www.ti.com/rfid/docs/manuals/whtPapers/wp-Securing_Pharma_Supply_Chain_w_RFID_and_PKI_final.pdf
【発明の概要】
【発明が解決しようとする課題】
【0015】
以上で認識された問題を鑑みると、真正なRFID装置を読み取ること、及び偽造製品に取り付けられ特に薬剤製品の供給チェーンの真正製品を置換してしまう偽造RFID装置に真正なRFID装置のデータをコピーすることを防ぐか又は少なくともより困難にする解決策を提供する必要がある。
【課題を解決するための手段】
【0016】
この要求は、独立請求項に記載の発明により満たされる。本発明の有利な実施例は、従属請求項により記載される。本発明の第1の態様によると、RFID装置とのデータ・アクセスを制御する方法を提供する。RFID装置は、デ―タ・メモリー、物理的にクローン化不可能な機能、を有する。物理的にクローン化不可能な機能は、所定のチャレンジ信号を受信すると、固有の予測不可能なレスポンス信号を生成する。
【0017】
提供される方法は、(a)第1のチャレンジ信号をRFID装置へ送信する段階、(b)物理的にクローン化不可能な機能により、第1のチャレンジ信号に基づき第1のレスポンス信号を生成する段階、(c)第1のレスポンス信号をRFID装置のデータ・メモリーに格納する段階、(d)物理的にクローン化不可能な機能により、第2のチャレンジ信号を有するレスポンス信号をRFID装置に送信する段階、(f)第2のレスポンス信号を第1のレスポンス信号と比較する段階、(g)第2のレスポンス信号が第1のレスポンス信号と同一の場合、RFID装置へのデータ・アクセスを提供する段階、を有する。
【0018】
本発明のこの態様は、RFID装置とのデータ通信を許可するために、適切な読み取り装置が自身を認証させるという考えに基づく。この読み取り装置の認証は、RFID装置とのデータ通信を禁止する、知られている方法と対比して効果的である。RFID装置は、適切な第2のチャレンジ信号により自身を認証させる必要がある。この場合、第2のチャレンジ信号は、パスワードとして解釈され、RFID読み取り機が自身を認証させること、及びRFID装置のデータ・メモリーとデータ通信を開始することを可能にする。最初の3つの段階、つまり第1のチャレンジ信号を送信する段階、第1のレスポンス信号を生成する段階、及び第1のレスポンス信号を格納する段階は、RFID装置の特別な設定として理解される。結果として、RFID装置との通信は、第1及び第2のレスポンス信号が同一の場合のみ可能である。これは、物理的にクローン化不可能な機能の上述の特徴により、予測不可能な固有のレスポンス信号がチャレンジ信号毎に生成されるためである。これは、対応するチャレンジ信号が同一の場合にも、同一のレスポンス信号のみが生成されることを意味する。
【0019】
換言すると、RFID装置は、第1のチャレンジ信号の値の知識が、任意のエンティティにRFID装置のデータ・メモリーに格納された情報を読み取る及び/又は抽出することを可能にするように設定される。従って、RFID装置とのデータ通信を効率的に制限するために、第1のチャレンジ信号は、多数の異なる認証されたエンティティを有するシステム内で秘密に保たれなければならない。これは、上述の方法が、上述のRFID装置をタグ付けされた商品の供給チェーンにおいて、パスワードのセキュリティ及び管理のための効率的な解決策であることを示す。これにより、RFID装置の複製や偽造が防止されるか、又は少なくとも大幅に低減される。結果として、対応する製品の複製や偽造は、効率的に防止されるか、少なくとも大幅に低減される。
【0020】
RFID装置へのデータ・アクセスが提供されるとき、RFID装置のデータ・メモリーに格納されているデータを抽出することが可能である。このデータは、任意の種類であってよい。更に、RFID装置のデータ・メモリーにデータを書き込むこと、及び/又はRFID装置のデータ・メモリーに格納されているデータを修正することが可能である。
【0021】
物理的にクローン化不可能な機能(PUF)は、電子回路により実現される。物理的にクローン化不可能な機能(PUF)は、例えばP.Tuyls、L.Batina、RFID Tags for Anti−Counterfeiting、Topics in Cryptology−CT−RSA 2006、The Cryptographers’ Track at the RSA Conference 2006、2006年2月に記載されている。本文献は参照することにより本願明細書に組み込まれる。特に、当該文献の第4章を参照する。ここで、PUFは、チャレンジをレスポンスにマッピングする機能として、及び対象物に組み込まれるものとして定められる。PURは以下の特性を有する。
【0022】
−簡単に評価できる。これは、対象物が短時間で評価できることを意味する。
【0023】
−特徴を明らかにすることが困難である。これは、多項式時間で実行される多数の測定から、もはやRFID装置を有さない、限られた量の資源しか有さない攻撃者が、一様にランダムに選択されるレスポンスとチャレンジに関する極僅かな知識しか取得できないことを意味する。
【0024】
換言すると、用語「予測不可能」は、レスポンス信号が分かっている場合に、対応するチャレンジ信号を見付けるのが、少なくとも非常に困難な又は不可能であることを意味する。これは、レスポンス信号の値が、安全でなければならないが、秘密でなくてもよいことを意味する。PUFは、例えばシリコンPUF又は所謂コーティングPUFであってよい。
【0025】
更に、PUFは、装置であってよい。レスポンス信号の予測不可能性は、材料の散乱特性に基づく。
【0026】
シリコンPUFは、回路内の製造のばらつきが、回路内の遅延に有意な差分を生じるという事実に基づく。これらのばらつきは、統計的なマスクのばらつきによって、PUFの製造中の温度及び圧力のばらつきによって生じる。遅延のばらつきの大きさは、このような方法では約5%である。シリコンPUFのチャレンジは、デジタル入力信号である。回路により生じる入力と出力との間の遅延は、PUFのレスポンスである。
【0027】
コーティングPUFでは、チップは、例えばランダムな誘電粒子をドープされたアルミノリン酸塩を有するコーティングにより覆われる。この場合には、ランダムな誘電粒子は、複数種類のランダムな大きさの、コーティング基盤の誘電率と異なる比誘電率を有する粒子である。コーティングPUFは、コーティングと誘電材料との組み合わせを有する。コーティングPUFにチャレンジするために、金属センサーのアレイは、基盤と保護層との間に設けられる。誘電粒子がセンサー部同士の間の距離より小さい場合に、十分なランダムさが得られる。チャレンジ信号は、センサー・アレイの特定の点でセンサーに印加される特定の周波数及び振幅の電圧に対応する。ランダムな誘電粒子を有するコーティング材料の存在により、センサー板は、ランダムなキャパシター値を有するキャパシターとして動作する。キャパシタンスは、適切な電子鍵に変わる。
【0028】
留意すべき点は、PUFによるレスポンス信号の提供は、例えば誤り訂正段階、及び/又はプライバシー強化段階のような更なる処理段階を有してよい。プライバシー強化は、ファジィ・コミットメント・スキーム(Fuzzy Commitment Scheme)により実行されうる。ファジィ・コミットメント・スキームにより、認証のための適切なメトリックで、証明が認可される。この証明は、元の暗号化証明と近いが必ずしも同一ではない。ファジィ・コミットメント・スキームに関する更なる詳細は、A Fuzzy Commitment Scheme、A.Juels、M.Wattenberg in G.Tsudik、ed.第6回ACM Comference on Computer and Communication Security、p.28−36、ACM Press 1999を参照のこと。
【0029】
プライバシー強化は、ファジィ・エクストラクタ(Fuzzy Extractor)により実行される。ファジィ・エクストラクタは、自身の入力から、ほぼ均一であるがランダムな鍵を信頼性をもって抽出する。それにより、抽出は、入力が変化しても、入力が元の入力のある程度近くにある限り、鍵が同一であるという意味で、誤り耐性を有する。上述のファジィ・エクストラクタに関する更なる詳細は、Fuzzy Extractors:How to Generate Strong Keys from Biometrics and Other Noisy Data;Yevgeniy Dodis、Leonid Reyzin、Adam Smith; Advances in Cryptology;EUROCRYPT、2004年5月を参照のこと。また、プライバシー強化は、シールド機能を適用することにより実行される。シールド機能は、New Shielding Functions to Enhance Privacy and Prevent Misuse of Biometric Templates; Jean−Paul Linnartz、Pirn Tuyls; AVBPA 2003、LNCSに記載されている。これらの3つの文献の開示は参照することにより本願明細書に組み込まれる。
【0030】
本発明のある実施例によると、前記物理的にクローン化不可能な機能は、前記RFID装置と分離できない。これは、PUFがRFIDチップと分離不可能に結合されている場合に実現される。これは、チップからPUFを取り除く又はPUFの如何なる改竄の試みも、PUF及び/又はチップの破壊をもたらすという利点を提供する。PUFが破壊された場合には、RFID装置のRFID読み取り機の認証ができなくなる。従って、メモリーに格納されているデータはもはやアクセスできなくなる。
【0031】
本発明の別の実施例によると、RFID装置のデータ・メモリーに格納されているデータは、個々の識別データである。特に、これらのデータは、RFID装置をタグ付けされる商品又は品物の電子製品コードを表す。これは、包装された医薬品のような商品が、製薬会社、卸売業者、小売業者、薬局、及び顧客、患者のような種々のエンティティを含む供給チェーンの全体を通じて個々に信頼性をもって追跡されるという、利点を提供する。上述のエンティティが、RFID装置との通信を開始する適切なチャレンジ信号を知っている場合には、タグ付けされた商品の真偽が検査される。従って、適切なチャレンジ信号を知らずにRFID装置を不正に偽造することができないので、容易に且つ信頼性をもって偽造製品を識別できる。これは、供給チェーン及び特に薬のような最新の注意を払うべき商品の供給チェーンを、一層信頼性のあるものにする。
【0032】
個々の識別データは、変更不可能な方法で格納される。これは、RFID装置及びRFID装置でタグ付けされた商品が、RFID装置が破壊されない限り、常に明確に識別されるという効果をもたらす。これは、供給チェーンにおける製品の安全性を更に向上する。
【0033】
留意すべき点は、電子製品コード自体をデータ・メモリーに格納する必要がないことである。個々の電子製品コードを外部に、例えばサーバーのようなデータ・メモリーに格納すれば十分である。しかしながら、対応する電子製品コードが、個々の識別データに基づき明確に割り当てられる必要がある。勿論、供給チェーンの安全性を更に向上させるために、サーバーは、認証されたエンティティのみがアクセスできるようにセキュアであるべきである。
【0034】
本発明の別の実施例によると、前記第1のチャレンジ信号を前記RFID装置へ送信する段階は、第1のエンティティにより実行され、前記RFID装置へ、第2のチャレンジ信号を有する要求信号を送信する段階は、第2のエンティティにより実行され、及び 前記方法は:前記第1のチャレンジ信号を前記第1のエンティティから前記第2のエンティティへ安全な方法で送信する段階、を更に有する。これは、第1のエンティティから始まり、第2のエンティティのみが、RFID装置とのデータ通信を開始するために必要なチャレンジ信号を知ることができるという利点を提供する。第1のエンティティは、例えばRFID装置の製造者である。第2のエンティティは、商品の製造者であり、商品の供給チェーンを安全にするために、RFID装置をタグ付けすると想定される。
【0035】
留意すべき点は、供給チェーン全体を通じて、異なるエンティティが、自身を適正に認証させることによりRFID装置にアクセスすることが可能である。第1のチャレンジ信号を第2のエンティティに安全に送信することは、例えば第1のエンティティにより第1のチャレンジ信号を電子的に署名することにより、及び署名された第1のチャレンジ信号を第2のエンティティの公開鍵で暗号化することにより実現される。これは、第2のエンティティに第1のチャレンジ信号に関する知識を提供するために、安全なデータ送信のための知られた方法を用いることができることを意味する。第1のチャレンジ信号は、上述のように、RFID装置と適切なRFID読み取り機との間のデータ通信を開始するための鍵を表す。
【0036】
本発明の別の実施例によると、前記方法は、前記RFID装置を製品に取り付ける段階、を更に有する。これは、製品又は品物が、製品の製造者から始まり消費者で終わる供給チェーンの全体で、個々に識別されるという利点を提供する。勿論、RFID装置は、信頼性のある製品の物理的な安全性を確保するために、適切な不正改竄防止機能及び/又は不正改竄防止包装方法と連携して用いられてよい。これは、特に製薬会社が薬を製造し、包装紙、RFID装置を各製品の包装に取り付ける、薬の供給チェーンを安全にするために適する。
【0037】
本発明の別の実施例によると、前記方法は、前記第2のレスポンス信号が前記第1のレスポンス信号と同一である場合に、前記RFID装置の前記データ・メモリーにデータを書き込む段階、を更に有する。これは、RFID装置とデータ通信を開始可能な各エンティティが、RFID装置のデータ・メモリーに更なる情報を追加できるという利点を提供する。この情報は、例えばRFID装置が取り付けられた製品が、所定の供給チェーン内の新たなエンティティに転送されたときのタイムスタンプであってよい。更に、当該情報は、当該新たなエンティティの識別コードを有してよい。従って、製品は、供給チェーン内で容易に追跡でき、及び製品と接触した全ての上流のエンティティを識別できる。
【0038】
本発明の別の実施例によると、前記方法は、(a)前記第2のレスポンス信号が前記第1のレスポンス信号と同一の場合に、第3のチャレンジ信号を前記RFID装置へ送信する段階、(b)前記物理的にクローン化不可能な機能により、前記第3のチャレンジ信号に基づき、第3のレスポンス信号を生成する段階、及び(c)前記第3のレスポンス信号を前記RFID装置の前記データ・メモリーに格納する段階、を更に有する。これは、第1のパスワードを表す第1のチャレンジ信号を知っている如何なるエンティティも、当該パスワードを変更できるという利点を提供する。これは、後続のエンティティのみが、RFID装置とのデータ通信を開始できるという効果を奏する。このようなエンティティは、第3のチャレンジ信号を知っている。従って、第3のチャレンジ信号は、RFID装置とのデータ通信を開始するための変更されたパスワードを表す。
【0039】
上述のパスワードのリセットは、前段の団体がRFID装置への不正なアクセスを得ることを防ぐために、供給チェーンの如何なる団体によって実行されてもよい。望ましくは、第1のパスワードは、第2の又は供給チェーンの別のエンティティにより、第3のチャレンジ信号である新たな秘密の値にリセットされてよい。当該リセットは、第2のエンティティが例えば在庫管理のためにRFIDの読み取りを終えた後、対応する製品が第2のエンティティを去って供給チェーンの例えば卸売業者である次の団体へ行く前に、行われる。チャレンジのリセットは、RFID装置に格納された対応するレスポンスを、第1のレスポンスから第3のレスポンス信号である新たな値にリセットすることを意味する。
【0040】
対応するプロトコルでは、格納されたレスポンス信号をリセットするために、第2のエンティティは、第1及び第2のチャレンジ信号を有する終話信号を、RFID装置へ送信する。第3のチャレンジ信号は、第2のエンティティによりランダムに生成される新たなパスワードを表す。このチャレンジ信号の対を受信すると、RFID装置は、自身のPUFに第1のチャレンジ信号でチャレンジし、取得したレスポンスが、第1のレスポンス信号である自身の格納している値と等しいか否かを調べる。この場合にのみ、RFID装置は、第3のレスポンス信号を取得するために、自身のPUFに第3のチャレンジ信号でチャレンジする。その後、データ・メモリー内で、第1のレスポンス信号は、第3のレスポンス信号で自動的に置き換えられる。
【0041】
留意すべき点は、RFID読み取り機からRFID装置への通信チャンネルが、RFID装置からRFID読み取り機への逆方向の通信チャンネルよりも、通常、簡単に傍受されることである。従って、RFID装置に格納されたデータを知るための最も簡単な傍受方法は、第1のパスワードが真正な読み取り機から真正なRFID装置へ送信されるときに、第1のパスワードを傍受し、次に真正な読み取り機として振る舞い、RFID装置に尋ねることである。これは、実際には、パスワードに基づく認証システムの共通の問題である。真正な読み取り機として動作する偽物の読み取り機が存在する危険を低減させるために、説明したリセット・プロトコルは、終話信号で送信される種々のチャレンジが傍受される可能性が非常に低いような安全な環境で実行されるべきである。供給チェーンの種々のエンティティの設備が調査されるので、不正なエンティティがRFID装置とのデータ通信を開始するために必要なパスワードを知りうる可能性は非常に低い。
【0042】
本発明の別の実施例によると、(a)前記第1のチャレンジ信号は、それぞれデータ・メモリーと物理的にクローン化不可能な機能とを有する複数のRFID装置へ送信され、(b)前記複数のRFID装置のそれぞれで、前記個々の物理的にクローン化不可能な機能により、前記第1のチャレンジ信号に基づき個々の第1のレスポンス信号が生成され、及び(c)前記複数のRFID装置のそれぞれで、前記個々の第1のレスポンス信号は、前記個々のデータ・メモリーに格納される。これは、複数のRFID装置が同時に、共通のパスワードを表す第1のチャレンジ信号を知っているエンティティのみがRFID装置とのデータ通信を開始できるように設定されるという利点を提供する。
【0043】
留意すべき点は、第1のチャレンジ信号は、共通の第1のチャレンジ信号であることである。従って、対応するRFID装置を備えたひとまとまりの製品の全体に関する情報は、偽造から効率的に保護される。
【0044】
本発明の別の実施例によると、(a)前記第2のチャレンジ信号を有する前記要求信号は、前記複数のRFID装置を製品装置のへ送信され、(b)少なくとも幾つかの前記RFID装置のそれぞれで、個々の第2のレスポンス信号は、前記個々の物理的にクローン化不可能な機能により、前記第2のチャレンジ信号に基づき生成され、(c)少なくとも幾つかの前記RFID装置のそれぞれで、前記個々の第2のレスポンス信号は、前記対応する個々の第1のレスポンス信号と比較され、及び(d)少なくとも幾つかの前記RFID装置のそれぞれで、前記対応する個々の第2のレスポンス信号が前記対応する第1のレスポンス信号と同一である場合に、データ・アクセスが提供される。これは、ひとまとまりの異なるRFID装置のための共通のパスワードを表す、適切な共通の第2のチャレンジ信号を適用するときに、RFID装置とのデ―タ通信が同時に開始できるという利点を提供する。RFID装置がひとまとまりの製品の異なる品物に付された場合に、それぞれ個々のRFID装置、及びそれぞれ個々の製品に関連する情報は、抽出され、及び/又は変更される。これにより、膨大な数の製品に対しても、安全な供給チェーンが効率的に確立される。
【0045】
本発明の別の態様によると、RFID装置が提供される。当該RFID装置は、−処理素子、−前記処理素子と結合されたデータ・メモリー、及び−前記処理素子と結合された物理的にクローン化不可能な機能、を有し、(a)前記物理的にクローン化不可能な機能は、第1のチャレンジ信号に基づき、固有の予測不可能な第1のレスポンス信号を生成し、(b)前記RFID装置は、前記第1のレスポンス信号を前記データ・メモリーに格納し、(d)前記物理的にクローン化不可能な機能は、第2のチャレンジ信号に基づき、固有の予測不可能な第2のレスポンス信号を生成し、(c)前記処理素子は、前記第2のレスポンス信号と前記第1のレスポンス信号とを比較し、及び(e)前記RFID装置は、前記第2のレスポンス信号が前記第1のレスポンス信号と同一である場合に、RFID装置のデータ・メモリーに格納されているデータを出力する。
【0046】
本発明のこの態様は、不正なRFID読み取り機が、真正なRFID装置である上述のRFID装置を読み取るのを防ぐという考えに基づく。換言すると、RFID読み取り機がRFID装置のデ―タ・メモリーに格納されているデータを読み取る前に、RFID読み取り機はタグを認証しなければならない。RFID装置とのデータ通信を制限する、知られている方法とは対照的に、記載されるRFID装置は自身をRFID読み取り機に認証させない。本発明の本態様によると、データ・アクセスは、記載されるRFID読み取り機が自身をRFID装置に認証させた場合のみ可能である。この場合、第2のチャレンジ信号は、パスワードとして解釈され、RFID読み取り機がRFID装置のデータ・メモリーとデータ通信を開始することを可能にする。
【0047】
RFID装置は、第1のチャレンジ信号の値の知識が、任意のエンティティにRFID装置のデータ・メモリーに格納された情報を読み取る及び/又は抽出することを可能にするように設定される。従って、RFID装置とのデ―タ通信を効率的に制限するために、第1のチャレンジ信号は、多数の異なる認証されたエンティティを有するシステム内で秘密に保たれなければならない。これは、上述のRFID装置が、上述のRFID装置をタグ付けされた商品の供給チェーンにおいて、パスワードのセキュリティ及び管理を効率的に可能にすることを意味する。これにより、RFID装置の複製や偽造が防止されるか、又は少なくとも大幅に低減される。
【0048】
物理的にクローン化不可能な機能(PUF)に関する更なる詳細は、上述の通りである。従って、PUFの設計に関しては、上述の対応する段落を参照のこと。
【0049】
上述のRFID装置は、データ・メモリーのデータが望ましくない方法で容易に削除及び/又は変更できないような、改竄防止機能付きのコンポーネントに相当するという利点を提供する。従って、RFID読み取り機がRFID装置とのデータ通信を開始する唯一の可能な方法は、秘密鍵を表す適正なチャレンジ信号を送信することである。
【0050】
RFID装置は、RFID装置とのデータ・アクセスを制御する上述の方法が、限られた機能を有する比較的単純なパッシブ型RFID装置で実行されうるという利点を更に提供する。従って、上述のRFID装置を用いることは、対偽造製品のための効率的な解決策を提供する。これにより、新たな設備にかかるコストや投資を低く抑えることができる。
【0051】
本発明のある実施例によると、前記物理的にクローン化不可能な機能は、前記RFID装置と分離できない。RFID装置とのデータ・アクセスを制御する上述の方法と関連して既に述べたように、これは、PUFがRFID装置チップと分離不可能に結合されている場合に実現されうる。これは、チップからPUFを取り除く又はPUFの如何なる改竄の試みも、RFID装置全体のPUF及び/又はチップの破壊をもたらすという利点を提供する。
【0052】
本発明の更に別の態様によると、データ・プロセッサーを有するRFID装置が提供される。RFID読み取り装置は、上述のように、第1のチャレンジ信号と同一の第2のチャレンジ信号を送信することにより、RFID装置と通信する。本発明のこの態様は、上述のRFID読み取り装置とRFID装置との間の通信チャンネルを開始する前に、RFID読み取り装置がRFID装置を認証しなければならないという考えに基づく。これは、RFID読み取り装置が適切なチャレンジ信号を知っている場合のみ、RFID読み取り装置がRFID装置のデータ・メモリーにアクセスできることを意味する。従って、第2のチャレンジ信号はパスワードとして解釈され、第2のチャレンジ信号が第1のチャレンジ信号と同一の場合に、RFID読み取り機がRFID装置とデータ通信を開始することを可能にする。
【0053】
本発明の別の態様によると、RFIDシステムが提供される。当該RFIDシステムは、(a)上述のRFID装置、及び(b)上述のRFID読み取り装置に対応する第1のRFID読み取り装置、を有する。
【0054】
本発明のこの態様は、上述のRFID装置と上述のRFID装置と上述読み取り装置が、2以上のエンティティを有する製品の供給チェーンに対し効率的なパスワード・セキュリティ・システムが確立されるように、組み合わせ可能であるという考えに基づく。これにより、製品は、供給チェーンのいかなるエンティティもタグ付けされた製品を識別できるように、上述のRFID装置を備えられる。しかしながら、この識別は、認証された団体又はエンティティによってのみ実行される。これは、偽造製品を容易に識別できるので、製品のセキュリティを有意に向上させる。
【0055】
物理的にクローン化不可能な機能の上述の特性は、製品の偽造者が真正なRFID装置を複製し偽造製品に取り付けられないことを更に保証する。このようなRFIDタグを複製する可能性は、真正製品が更に共有される前に、偽造者が偽造製品を供給チェーンに不正に導入することを可能にしてしまう。この場合に、複製されたRFID装置を読み取ることにより、供給チェーンの下流のエンティティは、偽造製品を真正製品とみなしてしまう。しかしながら、PUFは複製できないので、もはや偽造製品を不正に出荷することは当然不可能になる。
【0056】
本発明のある実施例によると、RFIDシステムは、上述のRFID読み取り装置に相当する第2のRFID装置と上述読み取り機読み取り装置、を更に有する。これにより、第1のRFID読み取り装置は、製品供給チェーンの第1のエンティティに割り当てられ、第2のRFID読み取り装置は製品供給チェーンの第2のエンティティに割り当てられる。
【0057】
これは、適切なチャレンジ信号を第1のエンティティから第2のエンティティへ転送することにより、効率的且つ信頼できるパスワード・セキュリティ及びパスワード管理システムが確立されるという利点を提供する。これにより、第1のエンティティは、例えば、RFID装置を適切な方法で最初に設定する、RFID装置の製造者であってよい。第2のエンティティは、例えば、偽造製品の供給チェーンへの導入を防ぐために、上述のRFID装置を製造した製品に取り付ける、製品の製造者であってよい。この点について、製品チェーンの全ての関与する団体が、(a)適切なRFID読み取り装置にアクセスでき、(b)RFID装置のPUFに同一の、データ・メモリーに格納されているレスポンス信号を生成させる、現在のチャレンジ信号を知っている場合に、効率的に防止できる。
【0058】
勿論、製品供給チェーンは、卸売業者、小売業者、及び顧客のような更なる団体を有する。次に、適切なチャレンジ信号をこれらの団体に送信することにより、製品の完全性が容易に検査でき、偽造製品は直ちに識別され、製品供給チェーンから除去される。
【0059】
留意すべき点は、本発明の実施例が異なる対象に関して記載されていることである。特に、いくつかの実施例は方法の請求項に関して記載され、他の実施例は装置の請求項に関して記載されている。しかしながら、当業者は上述及び以下の記載から収穫をうるだろう。当該記載には、特に言及しない場合には1種類の対象に属する特徴の如何なる組合せに加え、異なる対象に関連する特徴同士、特に方法の請求項の特徴と装置の請求項の特徴との間の如何なる組合せも本願明細書に開示されていると考えられる。
【0060】
本発明の上述の態様、及び更なる態様は、以下に記載される実施例から明らかであり、実施例を参照して説明される。本発明は、実施例を参照して以下により詳細に記載されるが、これらに限定されない。
【図面の簡単な説明】
【0061】
【図1】RFID読み取り装置と物理的にクローン化不可能なRFID装置を有するRFIDシステムを示す。
【図2A】第1のRFID読み取り装置によるRFID装置の設定、及び第2のRFID読み取り装置とRFID装置との間のデータ接続の確立を説明する概略図である。
【図2B】第2のRFID読み取り装置によるパスワード・リセット手順、及び第3のRFID読み取り装置とRFID装置との間のデータ接続の確立を説明する概略図である。
【図3】製品を真正製品又は偽造製品と信頼性をもって特徴付けるためにRFID装置を備えた製品を示す。
【図4】製造者から開始し小売業者で終了する製品供給チェーンの製品の安全性を向上させる方法を説明するフローチャートである。
【発明を実施するための形態】
【0062】
図中の説明は概略である。留意すべき点は、図中、同様又は同一の要素は、同一の参照符号、又は対応する最初の桁のみが異なる参照符号を有することである。
【0063】
図1は、RFID読み取り装置110と物理的にクローン化不可能なRFID装置130を有するRFIDシステム100を示す。RFID装置は、RFIDタグ130であってよい。
【0064】
RFID読み取り装置110は、電子回路115と、アンテナ124を有する。アンテナ124は、RF無線信号をRFID装置130へ送信し、及びRFID装置130から後方散乱されたRF無線信号を受信するために用いられる。
【0065】
電子回路115は、所謂、振幅偏移変調(ASK)変調器116を有する。ASK変調器116の動作は、駆動信号116aにより開始される。駆動信号116aは、RFID読み取り装置110のデータ・プロセッサー118により直接的に又は間接的に生成される。ASK変調器116は、発振回路120の一部である信号注入ユニット121を介して発振回路120と結合される。発振回路120は、抵抗器122、キャパシター123、及びアンテナ124を更に有する。
【0066】
RFID読み取り装置110とRFID装置130との間の通信は、RFID読み取り装置110からチャレンジ信号を、アンテナ124を用いて、RFID装置130へ送信することにより開始する。以下に詳細に説明するように、チャレンジ信号はパスワードを表し、パスワードが正しいとき、RFID読み取り装置110とRFID装置130との間のデータ通信を開始する。
【0067】
RFID読み取り装置110とRFID装置130との間のデータ接続が開始した場合、チャレンジ信号は、RFID読み取り装置130に、RFID読み取り装置110へ符号化信号を返送させる。この符号化信号は、アンテナ124により拾われる。
【0068】
この符号化信号をアンテナ124、発振回路120からそれぞれ抽出するために、帯域通過フィルター125が用いられる。帯域通過フィルター125は、増幅器126を介して復調器127と接続される。復調器127は、情報を表すデジタル入力データ129を供給し、RFID装置130からRFID読み取り装置110へ送信される。
【0069】
RFID読み取り装置130は、RFIDチップ135と、通信インターフェース145を有する。RFIDチップ135は、標準的に適切な筐体により保護され、RFID回路136を有する。RFID回路136は、物理的にクローン化不可能な機能(PUF)、データ・メモリー138、及び処理素子139を有する。PUFの機能及び可能な設計は、既に上述の通りである。従って、上述の本発明の概要を参照すべきである。
【0070】
RFID装置130がRFID読み取り装置110により開始されると、RFID回路136は2進変調コードを提供する。この2進変調コードは、アンテナ素子146とキャパシター147とを有する発振回路を駆動する。ダイオード141とキャパシター140は、RFID回路136と発振回路との間の適切な結合を提供するために用いられる。
【0071】
図2Aは、第1のRFID読み取り装置210aによるRFID装置230の設定を説明する概略図である。図は、第2のRFID読み取り装置210bとRFID装置230との間のデータ接続の開始を更に説明する。第1のRFID読み取り装置210aは、供給チェーンの第1のエンティティ250aに割り当てられる。第2のRFID読み取り装置210bは、供給チェーンの第2のエンティティ250bに割り当てられる。
【0072】
RFID装置230の設定は、第1のチャレンジ信号C1をRFID装置230へ送信することを含む。RFID装置230は、第1のチャレンジ信号C1で、自身の物理的にクローン化不可能な機能(PUF)237にチャレンジする。PUF237は、固有であるが予測不可能な第1のレスポンス信号R1を生成する。「固有」は、異なるRFID装置230に対し、異なるレスポンス信号が生成されることを意味する。「予測不可能」は、レスポンス信号R1が分かっている場合に、対応するチャレンジ信号C1を見付けるのが、少なくとも非常に困難な又は不可能であることを意味する。従って、レスポンス信号の値の抽出は、安全でなければならないが、秘密でなくてもよい。
【0073】
レスポンス信号R1は、RFID装置230のデータ・メモリー238に格納される。
【0074】
第2のエンティティ250bに割り当てられている第2のRFID読み取り装置210bを認証するために、第1のチャレンジ信号C1は、第1のRFID読み取り装置210aから第2のRFID読み取り装置210bへ安全な方法で転送される。第2のRFID読み取り装置210bとRFID装置230との間のデータ接続を開始するために、第2のRFID読み取り装置210bは、第2のチャレンジ信号C2をRFID装置230へ送信し、RFID装置230は、この第2のチャレンジ信号C2で、自身のPUF237にチャレンジする。PUF237は、第2のレスポンス信号R2を生成する。RFID装置230の処理素子239は、2つのレスポンス信号R2とR1を互いに比較する。
【0075】
この比較が2つのレスポンス信号R2とR1が同一でないと示す場合、第2のRFID読み取り装置210bは、RFID装置230と更に通信することができない。結果として、RFIDタグ230が取り付けられ得る製品は、偽造製品である可能性がある。
【0076】
2つのレスポンス信号R2とR1が同一である場合、第2のRFID読み取り装置210bとRFID装置230との間のデータ接続が開始される。RFID装置230の識別コードIDは、データ・メモリー238から抽出される。この識別コードIDは、電子製品コードEPCであってよい。更に、例えば識別コードIDを抽出した時間を示す第1のタイムスタンプTS1は、データ・メモリー238に書き込まれる。
【0077】
図2Bは、第2のRFID読み取り装置210bによるパスワード・リセット手順、及び第3のRFID読み取り装置210cとRFID装置230との間のデータ接続の確立を説明する概略図である。第3のRFID読み取り装置210cは、供給チェーンの第3のエンティティ250cに割り当てられる。
【0078】
パスワード・リセット手順は、適切な第2のチャレンジ信号C2と第3のチャレンジ信号C3の両方を有する終話信号を送信する段階を有する。
【0079】
第2のチャレンジ信号C2は、第1のチャレンジ信号C1と同一である。従って、第2のRFID読み取り装置210bとRFID装置との間の更なる通信が可能である。第3のチャレンジ信号C3に応答して、PUF237は、第3のレスポンス信号R3を生成し、データ・メモリー238に格納され、前に格納された第1のレスポンス信号R1を置き換える。第3のエンティティ250cに割り当てられている第3のRFID読み取り装置210cを認証するために、第3のチャレンジ信号C3は、第2のRFID読み取り装置210bから第3のRFID読み取り装置210cへ安全な方法で転送される。
【0080】
第3のRFID読み取り装置210cとRFID装置230との間のデータ接続を開始するために、第3のRFID読み取り装置210cは、RFID装置230へ第4のチャレンジ信号C4を送信する。RFID装置230は、第4のチャレンジ信号C4で自身のPUF237にチャレンジする。また、PUF237は、第4のレスポンス信号R4を生成する。RFID装置230の処理素子239は、2つのレスポンス信号R4とR3を互いに比較する。
【0081】
この比較が2つのレスポンス信号R4とR3が同一でないと示す場合、第3のRFID読み取り装置210cは、RFID装置230と更に通信することができない。結果として、RFIDタグ230が取り付けられ得る製品は、偽造製品である可能性がある。
【0082】
2つのレスポンス信号R4とR3が同一である場合、第3のRFID読み取り装置210cとRFID装置230との間のデータ接続が開始される。RFID装置230の識別コードID、電子製品コードEPCは、それぞれデータ・メモリー238から抽出される。更に、例えば第3のRFID読み取り装置210cにより識別コードIDを抽出した時間を示す第2のタイムスタンプTS2は、データ・メモリー238に書き込まれる。
【0083】
図3は、RFID装置330を備えた製品305を示す。上述のようにRFID装置330がRFID装置と対応する場合、製品305は、真正製品として又は偽造製品として信頼性をもって特徴付けられる。留意すべき点は、製品305の種類に依存して、RFID装置330は、製品305の包装にしっかりと取り付けられることである。このような包装へのタグ付けは、例えば、製品305が薬又は一服の薬であるときに適している。
【0084】
図4は、製造者450bから開始し小売業者450dで終了する製品供給チェーンの製品の安全性を向上させる方法を説明するフローチャートである。上述の実施例によると、製造者は製薬会社450bであり、小売業者はそれぞれ薬剤の小売業者、薬局450dである。薬は、上述のRFID装置330、230、130に対応するRFID装置でタグ付けされる。
【0085】
方法は、4つの段階S1、S2、S3、S4で開始し、RFID装置の製造者450aにより実行される。それにより、RFID装置は、初期設定される。
【0086】
段階S1で、製造者450aは、固有の識別コードIDを各RFID装置Tiに書き込む。この識別コードIDは、RFID装置Tiが製品にしっかりと取り付けられるときに、電子製品コードを各RFID装置Tiに割り当てるために用いられる。
【0087】
段階S2で、RFID装置の製造者450aは、共通の第1のチャレンジ信号C1をRFID装置Tiの全部へ送信する。強調すべき点は、第1のチャレンジ信号C1がRFID装置Tiのそれぞれに対し同一であることである。
【0088】
段階S3で、(a)各RFID装置Tiは、共通の第1のチャレンジ信号C1で自身のPUFにチャレンジし、(b)各RFID装置TiのPUFは、個々の第1のレスポンス信号R1を生成し、(c)この個々の第1のレスポンス信号R1は、各RFID装置Ti毎に異なり、各RFID装置Tiの対応するデータ・メモリーに書き込まれる。
【0089】
段階S4で、RFID装置の製造者450aは、共通の第1のチャレンジ信号C1を設定されたRFID装置Tiの一群へ送信し、対応する共通の第1のチャレンジ信号C1を製薬会社450bへ送信する。これにより、チャレンジ信号C1の送信は、電子的に実行される。しかしながら、この送信は、例えば良く知られた暗号化手順を用いることにより、秘密に実行される。方法は、更なる段階S5、S6、S7、S8a/S8b、S9、S10、及びS11へと続く。これらの段階は製薬会社450bにより実行される。これにより、RFID装置は、薬の包装に取り付けられ、更なる情報がRFID装置のデータ・メモリーに書き込まれる。
【0090】
段階S5で、RFID装置Tiは、製品、薬Piにそれぞれ取り付けられる。それにより、各RFID装置の識別コードIDと、対応する適切な方法で包装された薬との間の相関データが得られ、サーバーに格納される。留意すべき点は、段階S5、つまりRFIDタグを取り付ける手順は、後続の段階S6、S7、S8a/S8b、S9、及び/又はS10の後に実行されてもよいことである。
段階S6で、製薬会社は、共通の第2のチャレンジ信号C2を各RFID装置Tiへ送信する。
【0091】
段階S7で、各RFID装置Tiは、(a)共通の第2のチャレンジ信号C2で自身のPUFにチャレンジし、及び各RFID装置TiのPUFは、(b)個々の第2のレスポンス信号R2を生成する。
【0092】
段階S8で、RFID装置Ti毎に異なるこの個々の第2のレスポンス信号R2は、各RFID装置Tiのデータ・メモリーに実際に格納されている第1のレスポンス信号R1と比較される。
【0093】
第2のレスポンス信号R2が第1のレスポンス信号R1と等しくない場合、偽造RFID装置Tiが識別されたことを示し、方法は、段階S8aに進む。製薬会社450aのRFID読み取り装置とRFID装置Tiとの間では、もはや更なるデータ・アクセスができない。
【0094】
第2のレスポンス信号R2が第1のレスポンス信号R1と等しい場合、RFID装置Tiが真正なタグであることを示し、方法は、段階S8bに進む。各RFID装置Tiと製薬会社450aのRFID読み取り装置との間のデータ接続が開始される。
【0095】
段階S9で、各RFID装置Tiのデータ・メモリーに格納されている識別コードIDが抽出され、タイムスタンプTS1が各RFID装置Tiに書き込まれる。
【0096】
段階S10で、各データ・メモリーに格納された、共通のチャレンジ信号と関連付けられた、個々のレスポンス信号に対応するパスワードは、RFID装置製造者450aがRFID装置Tiともはや通信できないようにするため、リセットされる。リセット手順では、終話信号はRFID装置Tiへ送信される。終話信号は、第1のチャレンジ信号C1と第3のチャレンジ信号C3を有する。第1のチャレンジ信号C1を受け付け、データ接続を開始した後、各RFID装置TiのPUFは、第3のレスポンス信号R3を、第3のチャレンジ信号C3に基づき生成する。第3のレスポンス信号R3は、RFID装置のデータ・メモリーに書き込まれる。それにより、第3のレスポンス信号R3は、予め格納されていた第1のレスポンス信号R1を置き換える。
【0097】
段階S11で、製薬会社450bは、それぞれRFID装置Tiを取り付けられた一群の製品/薬Pi、及び対応する第3のチャレンジ信号C3を、薬品卸売業者450cに送信する。また、第3のチャレンジ信号C3の送信は、安全に実行される。
【0098】
方法は、更なる段階S12、S13、S14a/S14b、S15、S16、及びS17へ進む。これらの段階は、薬品卸売業者450cにより実行される。
【0099】
段階S12で、薬品卸売業者450cは、共通の第4のチャレンジ信号C4を、特定の薬、薬の包装にそれぞれ取り付けられている各RFID装置Tiへ送信する。
【0100】
段階S13で、(a)各RFID装置Tiは、共通の第4のチャレンジ信号C4で、自身のPUFにチャレンジし、(b)各RFID装置のPUFは、個々の第4のレスポンス信号R4を生成する。
【0101】
段階S14で、RFID装置Ti毎に異なるこの個々の第4のレスポンス信号R4は、各RFID装置Tiのデータ・メモリーに実際に格納されている第3のレスポンス信号R3と比較される。第4のレスポンス信号R4が第3のレスポンス信号R3と等しくない場合、偽造製品/薬である偽造RFID装置Tiが識別されたことを示し、方法は、段階S14aに進む。製薬会社450cのRFID読み取り装置とRFID装置Tiとの間では、もはや更なるデータ・アクセスができない。偽造製品Piは、供給チェーンから除去される。
【0102】
第4のレスポンス信号R4が第3のレスポンス信号R3と等しい場合、製品/薬であるRFID装置Tiは真正であると識別されたことを示し、方法は、段階S14bに進む。各RFID装置Tiと薬品卸売業者450cのRFID読み取り装置との間のデータ接続が開始される。
【0103】
段階S15で、薬品卸売業者450cは、各RFID装置Ti識別コードIDを抽出し、第2のタイムスタンプTS21を各RFID装置Tiに書き込む。
【0104】
段階S16で、各データ・メモリーに現在格納されている、共通のチャレンジ信号と関連付けられた、個々のレスポンス信号に対応するパスワードは、製薬会社450bがRFID装置Tiともはや通信できないようにするため、リセットされる。リセット手順では、更なる終話信号はRFID装置Tiへ送信される。更なる終話信号は、第3のチャレンジ信号C3と第5のチャレンジ信号C5を有する。第3のチャレンジ信号C3を受け付け、データ接続を開始した後、各RFID装置TiのPUFは、第5のレスポンス信号R5を、第5のチャレンジ信号C5に基づき生成する。第5のレスポンス信号R5は、RFID装置のデータ・メモリーに書き込まれる。それにより、第5のレスポンス信号R5は、予め格納されていた第3のレスポンス信号R3を置き換える。
【0105】
段階S17で、薬品卸売業者450cは、それぞれRFID装置Tiを取り付けられた一群の製品Pi、及び対応する第5のチャレンジ信号C5を、小売業者450dに送信する。また、第5のチャレンジ信号C5は、安全な方法で送信される。方法は、更なる段階S18、S19、S20、S20a/S20b、S21へ進む。これらの段階は、薬品小売業者、薬局450dによりそれぞれ実行される。
【0106】
段階S18で、薬局450dは、共通の第6のチャレンジ信号C6を、特定の薬、薬の包装にそれぞれ取り付けられている各RFID装置Tiへ送信する。
【0107】
段階S19で、各RFID装置Tiは、(a)共通の第6のチャレンジ信号C6で、自身のPUFにチャレンジし、及び各RFID装置TiのPUFは、(b)個々の第6のレスポンス信号R6を生成する。
【0108】
段階S20で、この個々の第6のレスポンス信号R6は、各RFID装置Tiのデータ・メモリーに現在格納されている第5のレスポンス信号R5と比較される。第6のレスポンス信号R6が第5のレスポンス信号R5と等しくない場合、偽造製品/薬である偽造RFID装置Tiが識別されたことを示し、方法は、段階S20aに進む。もはやデータ・アクセスは可能ではなく、偽造製品Piは、供給チェーンから除去される。第6のレスポンス信号R6が第5のレスポンス信号R5と等しい場合、製品/薬であるRFID装置Tiは真正であると識別されたことを示し、方法は、段階S20bに進む。各RFID装置Tiと薬局450dのRFID読み取り装置との間のデータ接続が開始される。
【0109】
段階S21で、薬局450dは、真正な製品/薬Piのうちの1つをそれぞれ顧客、患者に販売する。患者のプライバシーを守るため、薬局450dは、RFID装置Tiを無効にする。しかしながら、RFID装置Tiは、動作し続け、例えば異なる薬のセルフライフの最大化に関する自動制御を維持するために、患者がRFID装置Tiのデータ・メモリーに格納されている情報を更に用いることもできる。
【0110】
留意すべき点は、「有する」の語が他の要素又は段階を排除しないこと、及び単数を表す語が複数を排除しないことである。また異なる実施例と関連付けられて記載された要素は結合されて良い。また留意すべき点は、請求項の参照符号が、請求項の範囲を制限すると見なされるべきではないことである。
【0111】
上述の本発明の実施例を以下に要約する。
【0112】
RFID装置230とのデータ・アクセスを制御する方法が開示された。それにより、RFID装置230がRFID読み取り装置210bと通信する前に、RFID読み出し装置210bは自身をRFID装置230に認証させる。RFID装置230は、物理的にクローン化不可能な機能237を備えられ、予め定められたチャレンジ信号C1、C2を受信すると、固有であるが予測できないレスポンス信号R1、R2を生成する。RFID装置の記録中に、第1のチャレンジ信号C1と一意的に関連付けられている第1のレスポンス信号R1は、RFID装置230のメモリー238に格納される。第1のチャレンジ信号C1は、RFID装置230との更なるデータ通信を開始するためのパスワードを表す。RFID読み取り装置が第2のチャレンジ信号C2でRFID装置230に問い合わせるとき、RFID装置230は、対応するレスポンス信号R2を、記録中に格納されたレスポンスR1と比較する。また、一致した場合のみ、自身の識別子IDで応答する。
【符号の説明】
【0113】
100 RFIDシステム
110 RFID読み取り装置
115 電子回路
116 振幅偏移変調器/ASK変調器
116a 駆動信号
118 データ・プロセッサー
120 発振回路
121 信号注入ユニット
122 抵抗器
123 キャパシター
124 アンテナ
125 帯域通過フィルター
126 増幅器
127 復調器
129 出力データ
130 RFID装置/RFIDタグ
135 RFIDチップ
136 RFID回路
137 物理的にクローン化不可能な機能(PUF)
138 データ・メモリー
139 処理素子
140 キャパシター
141 ダイオード
145 通信インターフェース
146 アンテナ素子
147 キャパシター
210a 第1のRFID読み取り装置
210b 第2のRFID読み取り装置
210c 第3のRFID読み取り装置
230 RFID装置/RFIDタグ
237 物理的にクローン化不可能な機能(PUF)
238 データ・メモリー 239 処理素子
250a 第1のエンティティ/第1の団体
250b 第1のエンティティ/第1の団体
250c 第1のエンティティ/第1の団体
C1 第1のチャレンジ信号
R1 第1のレスポンス信号
C2 第2のチャレンジ信号
R2 第2のレスポンス信号
C3 第3のチャレンジ信号
R3 第3のレスポンス信号
C4 第4のチャレンジ信号
R4 第4のレスポンス信号
ID 識別コード
EPC 電子製品コード
TS1 第1のタイムスタンプ
TS2 第2のタイムスタンプ
305 製品/薬の包装
330 RFID装置/RFIDタグ
450a 第1のエンティティ/RFID装置製造者
450b 第2のエンティティ/製薬会社
450c 第3のエンティティ/薬品卸売業者
450d 第3のエンティティ/薬品小売業者/薬局
S1 固有の識別コードIDを各RFID装置Tiに書き込む
S2 共通の第1のチャレンジ信号C1を各RFID装置Tiへ送信する
S3 各RFID装置Ti:C1でPUFにチャレンジし、個々の第1のレスポンス信号R1を生成し、R1をデータ・メモリーに書き込む
S4 一群の設定されたRFID装置Ti及び対応するC1を、製薬会社へ送信する
S5 RFID装置Tiを製品Piに取り付ける
S6 共通の第2のチャレンジ信号C2をそれぞれ取り付けられたRFID装置Tiへ送信する
S7 各RFID装置Ti:C2でPUFにチャレンジし、個々の第2のレスポンス信号R2を生成する
S8 各RFID装置Ti:R2をR1と比較する
S8a R2がR1と等しくない場合:偽造RFID装置の識別、もはやデータ・アクセスできない
S8b R1がR1と等しい場合:RFID装置Tiは真正なタグであることを示し、各RFID装置TiとRFID読み取り装置との間のデータ接続を開始する
S9 各RFID装置TiからIDを抽出し、タイムスタンプTS1を各RFID装置Tiに書き込む
S10 第1のチャレンジ信号C1と第3のチャレンジ信号C3とを有する終話信号を送信することによりパスワードをリセットし、個々の第3のレスポンス信号R3を生成し、R3をデータ・メモリーに書き込む
S11 RFID装置Ti及び対応するC3を取り付けられた一群の製品Piを、卸売業者へ送信する
S12 共通の第4のチャレンジ信号C4をそれぞれ取り付けられたRFID装置Tiへ送信する S13 各RFID装置Ti:C4でPUFにチャレンジし、個々の第4のレスポンス信号R4を生成する
S14 各RFID装置Ti:R4をR3と比較する
S14a R4がR3と等しくない場合:偽造製品Piの識別、製品Piを供給チェーンから除去する
S14b R4がR3と等しい場合:製品Piは真正製品であることを示し、各RFID装置TiとRFID読み取り装置との間のデータ接続を開始する
S15 各RFID装置TiからIDを抽出し、タイムスタンプTS2を各RFID装置Tiに書き込む
S16 第3のチャレンジ信号C3と第5のチャレンジ信号C5とを有する終話信号を送信することによりパスワードをリセットし、個々の第5のレスポンス信号R5を生成し、R5をデータ・メモリーに書き込む
S17 RFID装置Ti及び対応するC5を取り付けられた一群の製品Piを、小売業者へ送信する
S18 共通の第6のチャレンジ信号C6をそれぞれ取り付けられたRFID装置Tiへ送信する
S19 各RFID装置Ti:C6でPUFにチャレンジし、個々の第6のレスポンス信号R6を生成する S20 各RFID装置Ti:R6をR5と比較する
S20a R6がR5と等しくない場合:偽造製品Piの識別、製品Piを供給チェーンから除去する
S20b R6がR5と等しい場合:製品Piは真正製品であることを示す
S21 製品Tiを顧客に販売し、RFID装置Tiを無効にする
【技術分野】
【0001】
本発明は、無線周波数認識(RFID:Radio Frequency Identification)装置の分野に関する。特に、本発明は、RFID装置の完全性を検査するため、及び/又はRFID装置を取り付けられた製品の完全性を検査するために、RFID装置への及びRFID装置からのデータ・アクセスを制御する方法に関する。
【0002】
更に、本発明は、RFID装置であって、物理的にクローン化不可能な機能を有するRFID装置に関する。RFID装置は、上述のRFID装置とのデータ・アクセスを制御する方法を実行するために用いられる。
【0003】
更に、本発明は、上述のRFID装置とのデータ・アクセスを制御する方法を実行するために用いられる、RFID読み取り装置及びRFIDシステムに関する。
【背景技術】
【0004】
無線周波数認識(RFID)は、例えばスマート・ラベル又はタグのような多数の用途に伴う未来技術である。RFID装置及びRFIDタグは、それぞれそれらの価格及び機能に大きな違いがある。低価格なものでは、読み取り機から電力を得るパッシブ型の低価格なタグがある。これらは計算、記憶、及び通信能力が限られている。このようなタグの主な用途は、電子製品コード(EPC:Electronic Product Codes)タグに用いられるバーコードの代用であり、また、例えば医薬品産業で製品が偽造されるのを防ぐための追跡ツールとしても用いられる。更に、RFIDタグは、製造されるべき各商品の扱いを個々に追跡するために、製造時及び/又は輸送時に用いられる。
【0005】
医薬の偽造は、今日では、製薬会社の収益にだけでなく、薬を消費する人々の安全にとっても具体的な脅威である。この脅威を考慮に入れ、製薬会社も政府機関省庁も行動を開始しており、医薬供給チェーンの全体に有意な安全レベルを提供しようとしている。米国では、責任のある食品医薬品局(FDA)は、不正開封できない包装のような解決策に加えて、薬又はそのラベルに組み込まれた、傾けると色が変わる特殊インク、ホログラム、指紋、及び化学的マーカーのような認証技術のような技術的解決策が必要なことを認識している。この観点から、FDAは、薬品偽造に対抗する更なるツールとしてRFID技術を使用することを推奨している。
【0006】
大量のシリアル番号付けを伴うRFID技術を展開するには、固有の識別コードIDを薬の各パレット、容器、包装に割り当てる必要がある。このIDは、製品を含む全ての販売及び取引に関するデータを記録するために用いられ、製薬からの「ePedigree(電子系統)」を調剤(薬の追跡)に提供し、薬の購入者が薬の信頼性を決定することを可能にする。RFIDタグと関連付けられた全データは、在庫管理、薬の転用防止、迅速な薬の不良品回収のような多数の他の用途で更に用いられる。実施は、容器及びパレットのレベルで開始し、徐々に容器、パレット、包装のレベルで全ての製品を含み、最終的には流通システムを通して製品レベルで薬の識別を可能にする。
【0007】
追跡技術は、正確な薬の系統を提供することにより、薬剤供給チェーンの完全性を保証するのに役立つ。現在の紙に基づく手順は、誤りや改竄を生じ易く、それぞれ製品レベルへの適用が現実的ではない。従って、(RFID技術を介した)電子追跡は、信頼性のある製品追跡のための最も有望な手法であるばかりか、在庫管理のような他の分野でも価格低下の利益がある。薬の認証は、購入時の薬の信頼性を決定するだけでなく、薬のePedigree(電子系統)を提供するために重要である。しかしながら、RFID技術を介した電子認証は、他の既存の認証技術と共に、薬の検証及び追跡のための一層信頼性のある基盤を提供する。
【0008】
特許文献1は、読み取り機と、情報を格納するメモリーを有するRFタグとを含むRFIDシステムでの通信を保証する方法を開示している。当該方法は、読み取り機からタグへメッセージを送信する段階を有する。メッセージに応じて、タグは、チャレンジ値を生成し、当該チャレンジ値を読み取り機へ送信する。読み取り機は、キー値に基づきチャレンジ値に数学的演算を実行し、チャレンジ・リプライを生成し、チャレンジ・リプライをタグへ送信する。タグは、キー値及び数学的演算に基づき、チャレンジ・レスポンスを独立に計算する。タグは、タグにより計算したチャレンジ・レスポンスを、読み取り機により送信されたチャレンジ・リプライと比較する。タグは、チャレンジ・レスポンスがチャレンジ・リプライと一致した場合に、読み取り機を認証する。
【0009】
特許文献2は、タグ・メモリーをパスワードで保護しているメモリー・タグ及び読み取り機を開示している。RFIDの形態のメモリー・タグは、データ、演算プログラム、及び現在のパスワードを格納するメモリーを有する。メモリー・タグは、データを要求しているタグ読み取り機からの信号に応じて、演算プログラムを実行し、現在のパスワードに依存するトークンを統合するために読み取った信号を検査する。トークンが読み取り信号の中で識別される場合、メモリー・タグは、要求されたデータを読み取り、当該データをユーザーに送信する。トークンは、パスワード自体か、又はパスワードの派生物である。タグ・パスワードは、製造時に設定されるか、又はタグから読み取り機への各通信の後に更新される。或いは、タグは、要求したデータを送信した後に、新たなパスワードを読み取り機から受信する。現在のトークン及び新たなパスワードは、暗号化された形式で送信される。
【0010】
非特許文献1は、薬が供給チェーンの中で組織から組織へ渡される場合の、薬の認証及び薬のePedigreeのための方式を提案している。系統の情報構造は、供給チェーンの全ての参加者に系統へのアクセス可能性を向上させる情報供給チェーン全体の中央レポジトリを用いる。供給チェーンの各組織から、電子製品コード(EPC)のような薬の系統に必要な情報は、このレポジトリに書き込まれる。薬の検証のための情報構造は、製造者にあるファイルを軸としている。ファイルのサブセットは、有効なEPCのみを有する。有効なEPCは、製造者のサーバーから抽出され、安全なインターネット・アクセスに掲載される。次に、他の供給チェーンの組織は、薬からEPCをスキャンし、EPCを製造者により掲載された有効なEPCと比較する。しかしながら、有効なEPCは製造者の管理から外れるので、法定基準に適合しない可能性がある。
【0011】
非特許文献2は、薬が供給チェーンを通過するときの、薬の認証及び薬の系統のための更なる方式を提案している。RFIDタグ認証は、認証された読み取り機により実行される。読み取り機は、固有のタグ識別子及び製薬会社の識別子にある製薬会社のデジタル署名を検証する。
【0012】
この署名は、薬の製造時に作成される。追跡機能は、読み取り機の助けを得て達成される。読み取り機は、基本的に日付と供給チェーンのイベントの時間である。「イベント・マーカー」をタグに書き込む。読み取り機は、読み取り機によりデジタル的に署名された関連するイベント情報をローカル・コンピューター・システムに伝達する。このシステムはまた、外部ネットワークに利用可能な情報を作成する。これは、タグ、供給チェーンのイベント、及び外部に分散しているネットワーク・データの間に、分離できないインクと検索インデックスを提供する。上述の方式は、真正タグが偽物の識別子で上書きされること、又は偽造タグが偽物の識別子に組み込まれるのを防ぐ。しかしながら、上述の方式は、有効な識別子が真正タグから読み取られ、偽造タグにコピーされ、そして偽造製品に取り付けられるのを防止できない。2以上の同一の識別子が供給チェーンの異なる点で見付かった場合、偽造が検出される。しかしながら、偽造製品は、真正製品より前に供給チェーンに入ってしまうので、偽造薬品が真正薬品として扱われてしまう。また、真正製品が単に供給チェーンから除去され、偽造製品により置換される場合、偽造が成功してしまう。置換した後、薬の検証は正しい識別子を備え、偽造タグから読み取られた値が真正タグからのものであるかのように、追跡は通常通りに続けられる。
【先行技術文献】
【特許文献】
【0013】
【特許文献1】米国特許第6842106 B2号明細書
【特許文献2】米国特許第2413195 A号明細書
【非特許文献】
【0014】
【非特許文献1】Robin Koh、Edmund W. Schuster、Indy Chackrabarti、Attilio Bellman、Securing the pharmaceutic supply chain、AutoID Center Massachusetts Institute of Technology、2003年6月、http://www.mitdatacenter.org/MIT-AUTOID-WH021.pdf
【非特許文献2】Joseph Pearson、Securing the Pharmaceutical Supply Chain with RFID and Public−key infrastructure Technologies、Texas Instruments Radio Frequency Identification Systems、2005年6月、http://www.ti.com/rfid/docs/manuals/whtPapers/wp-Securing_Pharma_Supply_Chain_w_RFID_and_PKI_final.pdf
【発明の概要】
【発明が解決しようとする課題】
【0015】
以上で認識された問題を鑑みると、真正なRFID装置を読み取ること、及び偽造製品に取り付けられ特に薬剤製品の供給チェーンの真正製品を置換してしまう偽造RFID装置に真正なRFID装置のデータをコピーすることを防ぐか又は少なくともより困難にする解決策を提供する必要がある。
【課題を解決するための手段】
【0016】
この要求は、独立請求項に記載の発明により満たされる。本発明の有利な実施例は、従属請求項により記載される。本発明の第1の態様によると、RFID装置とのデータ・アクセスを制御する方法を提供する。RFID装置は、デ―タ・メモリー、物理的にクローン化不可能な機能、を有する。物理的にクローン化不可能な機能は、所定のチャレンジ信号を受信すると、固有の予測不可能なレスポンス信号を生成する。
【0017】
提供される方法は、(a)第1のチャレンジ信号をRFID装置へ送信する段階、(b)物理的にクローン化不可能な機能により、第1のチャレンジ信号に基づき第1のレスポンス信号を生成する段階、(c)第1のレスポンス信号をRFID装置のデータ・メモリーに格納する段階、(d)物理的にクローン化不可能な機能により、第2のチャレンジ信号を有するレスポンス信号をRFID装置に送信する段階、(f)第2のレスポンス信号を第1のレスポンス信号と比較する段階、(g)第2のレスポンス信号が第1のレスポンス信号と同一の場合、RFID装置へのデータ・アクセスを提供する段階、を有する。
【0018】
本発明のこの態様は、RFID装置とのデータ通信を許可するために、適切な読み取り装置が自身を認証させるという考えに基づく。この読み取り装置の認証は、RFID装置とのデータ通信を禁止する、知られている方法と対比して効果的である。RFID装置は、適切な第2のチャレンジ信号により自身を認証させる必要がある。この場合、第2のチャレンジ信号は、パスワードとして解釈され、RFID読み取り機が自身を認証させること、及びRFID装置のデータ・メモリーとデータ通信を開始することを可能にする。最初の3つの段階、つまり第1のチャレンジ信号を送信する段階、第1のレスポンス信号を生成する段階、及び第1のレスポンス信号を格納する段階は、RFID装置の特別な設定として理解される。結果として、RFID装置との通信は、第1及び第2のレスポンス信号が同一の場合のみ可能である。これは、物理的にクローン化不可能な機能の上述の特徴により、予測不可能な固有のレスポンス信号がチャレンジ信号毎に生成されるためである。これは、対応するチャレンジ信号が同一の場合にも、同一のレスポンス信号のみが生成されることを意味する。
【0019】
換言すると、RFID装置は、第1のチャレンジ信号の値の知識が、任意のエンティティにRFID装置のデータ・メモリーに格納された情報を読み取る及び/又は抽出することを可能にするように設定される。従って、RFID装置とのデータ通信を効率的に制限するために、第1のチャレンジ信号は、多数の異なる認証されたエンティティを有するシステム内で秘密に保たれなければならない。これは、上述の方法が、上述のRFID装置をタグ付けされた商品の供給チェーンにおいて、パスワードのセキュリティ及び管理のための効率的な解決策であることを示す。これにより、RFID装置の複製や偽造が防止されるか、又は少なくとも大幅に低減される。結果として、対応する製品の複製や偽造は、効率的に防止されるか、少なくとも大幅に低減される。
【0020】
RFID装置へのデータ・アクセスが提供されるとき、RFID装置のデータ・メモリーに格納されているデータを抽出することが可能である。このデータは、任意の種類であってよい。更に、RFID装置のデータ・メモリーにデータを書き込むこと、及び/又はRFID装置のデータ・メモリーに格納されているデータを修正することが可能である。
【0021】
物理的にクローン化不可能な機能(PUF)は、電子回路により実現される。物理的にクローン化不可能な機能(PUF)は、例えばP.Tuyls、L.Batina、RFID Tags for Anti−Counterfeiting、Topics in Cryptology−CT−RSA 2006、The Cryptographers’ Track at the RSA Conference 2006、2006年2月に記載されている。本文献は参照することにより本願明細書に組み込まれる。特に、当該文献の第4章を参照する。ここで、PUFは、チャレンジをレスポンスにマッピングする機能として、及び対象物に組み込まれるものとして定められる。PURは以下の特性を有する。
【0022】
−簡単に評価できる。これは、対象物が短時間で評価できることを意味する。
【0023】
−特徴を明らかにすることが困難である。これは、多項式時間で実行される多数の測定から、もはやRFID装置を有さない、限られた量の資源しか有さない攻撃者が、一様にランダムに選択されるレスポンスとチャレンジに関する極僅かな知識しか取得できないことを意味する。
【0024】
換言すると、用語「予測不可能」は、レスポンス信号が分かっている場合に、対応するチャレンジ信号を見付けるのが、少なくとも非常に困難な又は不可能であることを意味する。これは、レスポンス信号の値が、安全でなければならないが、秘密でなくてもよいことを意味する。PUFは、例えばシリコンPUF又は所謂コーティングPUFであってよい。
【0025】
更に、PUFは、装置であってよい。レスポンス信号の予測不可能性は、材料の散乱特性に基づく。
【0026】
シリコンPUFは、回路内の製造のばらつきが、回路内の遅延に有意な差分を生じるという事実に基づく。これらのばらつきは、統計的なマスクのばらつきによって、PUFの製造中の温度及び圧力のばらつきによって生じる。遅延のばらつきの大きさは、このような方法では約5%である。シリコンPUFのチャレンジは、デジタル入力信号である。回路により生じる入力と出力との間の遅延は、PUFのレスポンスである。
【0027】
コーティングPUFでは、チップは、例えばランダムな誘電粒子をドープされたアルミノリン酸塩を有するコーティングにより覆われる。この場合には、ランダムな誘電粒子は、複数種類のランダムな大きさの、コーティング基盤の誘電率と異なる比誘電率を有する粒子である。コーティングPUFは、コーティングと誘電材料との組み合わせを有する。コーティングPUFにチャレンジするために、金属センサーのアレイは、基盤と保護層との間に設けられる。誘電粒子がセンサー部同士の間の距離より小さい場合に、十分なランダムさが得られる。チャレンジ信号は、センサー・アレイの特定の点でセンサーに印加される特定の周波数及び振幅の電圧に対応する。ランダムな誘電粒子を有するコーティング材料の存在により、センサー板は、ランダムなキャパシター値を有するキャパシターとして動作する。キャパシタンスは、適切な電子鍵に変わる。
【0028】
留意すべき点は、PUFによるレスポンス信号の提供は、例えば誤り訂正段階、及び/又はプライバシー強化段階のような更なる処理段階を有してよい。プライバシー強化は、ファジィ・コミットメント・スキーム(Fuzzy Commitment Scheme)により実行されうる。ファジィ・コミットメント・スキームにより、認証のための適切なメトリックで、証明が認可される。この証明は、元の暗号化証明と近いが必ずしも同一ではない。ファジィ・コミットメント・スキームに関する更なる詳細は、A Fuzzy Commitment Scheme、A.Juels、M.Wattenberg in G.Tsudik、ed.第6回ACM Comference on Computer and Communication Security、p.28−36、ACM Press 1999を参照のこと。
【0029】
プライバシー強化は、ファジィ・エクストラクタ(Fuzzy Extractor)により実行される。ファジィ・エクストラクタは、自身の入力から、ほぼ均一であるがランダムな鍵を信頼性をもって抽出する。それにより、抽出は、入力が変化しても、入力が元の入力のある程度近くにある限り、鍵が同一であるという意味で、誤り耐性を有する。上述のファジィ・エクストラクタに関する更なる詳細は、Fuzzy Extractors:How to Generate Strong Keys from Biometrics and Other Noisy Data;Yevgeniy Dodis、Leonid Reyzin、Adam Smith; Advances in Cryptology;EUROCRYPT、2004年5月を参照のこと。また、プライバシー強化は、シールド機能を適用することにより実行される。シールド機能は、New Shielding Functions to Enhance Privacy and Prevent Misuse of Biometric Templates; Jean−Paul Linnartz、Pirn Tuyls; AVBPA 2003、LNCSに記載されている。これらの3つの文献の開示は参照することにより本願明細書に組み込まれる。
【0030】
本発明のある実施例によると、前記物理的にクローン化不可能な機能は、前記RFID装置と分離できない。これは、PUFがRFIDチップと分離不可能に結合されている場合に実現される。これは、チップからPUFを取り除く又はPUFの如何なる改竄の試みも、PUF及び/又はチップの破壊をもたらすという利点を提供する。PUFが破壊された場合には、RFID装置のRFID読み取り機の認証ができなくなる。従って、メモリーに格納されているデータはもはやアクセスできなくなる。
【0031】
本発明の別の実施例によると、RFID装置のデータ・メモリーに格納されているデータは、個々の識別データである。特に、これらのデータは、RFID装置をタグ付けされる商品又は品物の電子製品コードを表す。これは、包装された医薬品のような商品が、製薬会社、卸売業者、小売業者、薬局、及び顧客、患者のような種々のエンティティを含む供給チェーンの全体を通じて個々に信頼性をもって追跡されるという、利点を提供する。上述のエンティティが、RFID装置との通信を開始する適切なチャレンジ信号を知っている場合には、タグ付けされた商品の真偽が検査される。従って、適切なチャレンジ信号を知らずにRFID装置を不正に偽造することができないので、容易に且つ信頼性をもって偽造製品を識別できる。これは、供給チェーン及び特に薬のような最新の注意を払うべき商品の供給チェーンを、一層信頼性のあるものにする。
【0032】
個々の識別データは、変更不可能な方法で格納される。これは、RFID装置及びRFID装置でタグ付けされた商品が、RFID装置が破壊されない限り、常に明確に識別されるという効果をもたらす。これは、供給チェーンにおける製品の安全性を更に向上する。
【0033】
留意すべき点は、電子製品コード自体をデータ・メモリーに格納する必要がないことである。個々の電子製品コードを外部に、例えばサーバーのようなデータ・メモリーに格納すれば十分である。しかしながら、対応する電子製品コードが、個々の識別データに基づき明確に割り当てられる必要がある。勿論、供給チェーンの安全性を更に向上させるために、サーバーは、認証されたエンティティのみがアクセスできるようにセキュアであるべきである。
【0034】
本発明の別の実施例によると、前記第1のチャレンジ信号を前記RFID装置へ送信する段階は、第1のエンティティにより実行され、前記RFID装置へ、第2のチャレンジ信号を有する要求信号を送信する段階は、第2のエンティティにより実行され、及び 前記方法は:前記第1のチャレンジ信号を前記第1のエンティティから前記第2のエンティティへ安全な方法で送信する段階、を更に有する。これは、第1のエンティティから始まり、第2のエンティティのみが、RFID装置とのデータ通信を開始するために必要なチャレンジ信号を知ることができるという利点を提供する。第1のエンティティは、例えばRFID装置の製造者である。第2のエンティティは、商品の製造者であり、商品の供給チェーンを安全にするために、RFID装置をタグ付けすると想定される。
【0035】
留意すべき点は、供給チェーン全体を通じて、異なるエンティティが、自身を適正に認証させることによりRFID装置にアクセスすることが可能である。第1のチャレンジ信号を第2のエンティティに安全に送信することは、例えば第1のエンティティにより第1のチャレンジ信号を電子的に署名することにより、及び署名された第1のチャレンジ信号を第2のエンティティの公開鍵で暗号化することにより実現される。これは、第2のエンティティに第1のチャレンジ信号に関する知識を提供するために、安全なデータ送信のための知られた方法を用いることができることを意味する。第1のチャレンジ信号は、上述のように、RFID装置と適切なRFID読み取り機との間のデータ通信を開始するための鍵を表す。
【0036】
本発明の別の実施例によると、前記方法は、前記RFID装置を製品に取り付ける段階、を更に有する。これは、製品又は品物が、製品の製造者から始まり消費者で終わる供給チェーンの全体で、個々に識別されるという利点を提供する。勿論、RFID装置は、信頼性のある製品の物理的な安全性を確保するために、適切な不正改竄防止機能及び/又は不正改竄防止包装方法と連携して用いられてよい。これは、特に製薬会社が薬を製造し、包装紙、RFID装置を各製品の包装に取り付ける、薬の供給チェーンを安全にするために適する。
【0037】
本発明の別の実施例によると、前記方法は、前記第2のレスポンス信号が前記第1のレスポンス信号と同一である場合に、前記RFID装置の前記データ・メモリーにデータを書き込む段階、を更に有する。これは、RFID装置とデータ通信を開始可能な各エンティティが、RFID装置のデータ・メモリーに更なる情報を追加できるという利点を提供する。この情報は、例えばRFID装置が取り付けられた製品が、所定の供給チェーン内の新たなエンティティに転送されたときのタイムスタンプであってよい。更に、当該情報は、当該新たなエンティティの識別コードを有してよい。従って、製品は、供給チェーン内で容易に追跡でき、及び製品と接触した全ての上流のエンティティを識別できる。
【0038】
本発明の別の実施例によると、前記方法は、(a)前記第2のレスポンス信号が前記第1のレスポンス信号と同一の場合に、第3のチャレンジ信号を前記RFID装置へ送信する段階、(b)前記物理的にクローン化不可能な機能により、前記第3のチャレンジ信号に基づき、第3のレスポンス信号を生成する段階、及び(c)前記第3のレスポンス信号を前記RFID装置の前記データ・メモリーに格納する段階、を更に有する。これは、第1のパスワードを表す第1のチャレンジ信号を知っている如何なるエンティティも、当該パスワードを変更できるという利点を提供する。これは、後続のエンティティのみが、RFID装置とのデータ通信を開始できるという効果を奏する。このようなエンティティは、第3のチャレンジ信号を知っている。従って、第3のチャレンジ信号は、RFID装置とのデータ通信を開始するための変更されたパスワードを表す。
【0039】
上述のパスワードのリセットは、前段の団体がRFID装置への不正なアクセスを得ることを防ぐために、供給チェーンの如何なる団体によって実行されてもよい。望ましくは、第1のパスワードは、第2の又は供給チェーンの別のエンティティにより、第3のチャレンジ信号である新たな秘密の値にリセットされてよい。当該リセットは、第2のエンティティが例えば在庫管理のためにRFIDの読み取りを終えた後、対応する製品が第2のエンティティを去って供給チェーンの例えば卸売業者である次の団体へ行く前に、行われる。チャレンジのリセットは、RFID装置に格納された対応するレスポンスを、第1のレスポンスから第3のレスポンス信号である新たな値にリセットすることを意味する。
【0040】
対応するプロトコルでは、格納されたレスポンス信号をリセットするために、第2のエンティティは、第1及び第2のチャレンジ信号を有する終話信号を、RFID装置へ送信する。第3のチャレンジ信号は、第2のエンティティによりランダムに生成される新たなパスワードを表す。このチャレンジ信号の対を受信すると、RFID装置は、自身のPUFに第1のチャレンジ信号でチャレンジし、取得したレスポンスが、第1のレスポンス信号である自身の格納している値と等しいか否かを調べる。この場合にのみ、RFID装置は、第3のレスポンス信号を取得するために、自身のPUFに第3のチャレンジ信号でチャレンジする。その後、データ・メモリー内で、第1のレスポンス信号は、第3のレスポンス信号で自動的に置き換えられる。
【0041】
留意すべき点は、RFID読み取り機からRFID装置への通信チャンネルが、RFID装置からRFID読み取り機への逆方向の通信チャンネルよりも、通常、簡単に傍受されることである。従って、RFID装置に格納されたデータを知るための最も簡単な傍受方法は、第1のパスワードが真正な読み取り機から真正なRFID装置へ送信されるときに、第1のパスワードを傍受し、次に真正な読み取り機として振る舞い、RFID装置に尋ねることである。これは、実際には、パスワードに基づく認証システムの共通の問題である。真正な読み取り機として動作する偽物の読み取り機が存在する危険を低減させるために、説明したリセット・プロトコルは、終話信号で送信される種々のチャレンジが傍受される可能性が非常に低いような安全な環境で実行されるべきである。供給チェーンの種々のエンティティの設備が調査されるので、不正なエンティティがRFID装置とのデータ通信を開始するために必要なパスワードを知りうる可能性は非常に低い。
【0042】
本発明の別の実施例によると、(a)前記第1のチャレンジ信号は、それぞれデータ・メモリーと物理的にクローン化不可能な機能とを有する複数のRFID装置へ送信され、(b)前記複数のRFID装置のそれぞれで、前記個々の物理的にクローン化不可能な機能により、前記第1のチャレンジ信号に基づき個々の第1のレスポンス信号が生成され、及び(c)前記複数のRFID装置のそれぞれで、前記個々の第1のレスポンス信号は、前記個々のデータ・メモリーに格納される。これは、複数のRFID装置が同時に、共通のパスワードを表す第1のチャレンジ信号を知っているエンティティのみがRFID装置とのデータ通信を開始できるように設定されるという利点を提供する。
【0043】
留意すべき点は、第1のチャレンジ信号は、共通の第1のチャレンジ信号であることである。従って、対応するRFID装置を備えたひとまとまりの製品の全体に関する情報は、偽造から効率的に保護される。
【0044】
本発明の別の実施例によると、(a)前記第2のチャレンジ信号を有する前記要求信号は、前記複数のRFID装置を製品装置のへ送信され、(b)少なくとも幾つかの前記RFID装置のそれぞれで、個々の第2のレスポンス信号は、前記個々の物理的にクローン化不可能な機能により、前記第2のチャレンジ信号に基づき生成され、(c)少なくとも幾つかの前記RFID装置のそれぞれで、前記個々の第2のレスポンス信号は、前記対応する個々の第1のレスポンス信号と比較され、及び(d)少なくとも幾つかの前記RFID装置のそれぞれで、前記対応する個々の第2のレスポンス信号が前記対応する第1のレスポンス信号と同一である場合に、データ・アクセスが提供される。これは、ひとまとまりの異なるRFID装置のための共通のパスワードを表す、適切な共通の第2のチャレンジ信号を適用するときに、RFID装置とのデ―タ通信が同時に開始できるという利点を提供する。RFID装置がひとまとまりの製品の異なる品物に付された場合に、それぞれ個々のRFID装置、及びそれぞれ個々の製品に関連する情報は、抽出され、及び/又は変更される。これにより、膨大な数の製品に対しても、安全な供給チェーンが効率的に確立される。
【0045】
本発明の別の態様によると、RFID装置が提供される。当該RFID装置は、−処理素子、−前記処理素子と結合されたデータ・メモリー、及び−前記処理素子と結合された物理的にクローン化不可能な機能、を有し、(a)前記物理的にクローン化不可能な機能は、第1のチャレンジ信号に基づき、固有の予測不可能な第1のレスポンス信号を生成し、(b)前記RFID装置は、前記第1のレスポンス信号を前記データ・メモリーに格納し、(d)前記物理的にクローン化不可能な機能は、第2のチャレンジ信号に基づき、固有の予測不可能な第2のレスポンス信号を生成し、(c)前記処理素子は、前記第2のレスポンス信号と前記第1のレスポンス信号とを比較し、及び(e)前記RFID装置は、前記第2のレスポンス信号が前記第1のレスポンス信号と同一である場合に、RFID装置のデータ・メモリーに格納されているデータを出力する。
【0046】
本発明のこの態様は、不正なRFID読み取り機が、真正なRFID装置である上述のRFID装置を読み取るのを防ぐという考えに基づく。換言すると、RFID読み取り機がRFID装置のデ―タ・メモリーに格納されているデータを読み取る前に、RFID読み取り機はタグを認証しなければならない。RFID装置とのデータ通信を制限する、知られている方法とは対照的に、記載されるRFID装置は自身をRFID読み取り機に認証させない。本発明の本態様によると、データ・アクセスは、記載されるRFID読み取り機が自身をRFID装置に認証させた場合のみ可能である。この場合、第2のチャレンジ信号は、パスワードとして解釈され、RFID読み取り機がRFID装置のデータ・メモリーとデータ通信を開始することを可能にする。
【0047】
RFID装置は、第1のチャレンジ信号の値の知識が、任意のエンティティにRFID装置のデータ・メモリーに格納された情報を読み取る及び/又は抽出することを可能にするように設定される。従って、RFID装置とのデ―タ通信を効率的に制限するために、第1のチャレンジ信号は、多数の異なる認証されたエンティティを有するシステム内で秘密に保たれなければならない。これは、上述のRFID装置が、上述のRFID装置をタグ付けされた商品の供給チェーンにおいて、パスワードのセキュリティ及び管理を効率的に可能にすることを意味する。これにより、RFID装置の複製や偽造が防止されるか、又は少なくとも大幅に低減される。
【0048】
物理的にクローン化不可能な機能(PUF)に関する更なる詳細は、上述の通りである。従って、PUFの設計に関しては、上述の対応する段落を参照のこと。
【0049】
上述のRFID装置は、データ・メモリーのデータが望ましくない方法で容易に削除及び/又は変更できないような、改竄防止機能付きのコンポーネントに相当するという利点を提供する。従って、RFID読み取り機がRFID装置とのデータ通信を開始する唯一の可能な方法は、秘密鍵を表す適正なチャレンジ信号を送信することである。
【0050】
RFID装置は、RFID装置とのデータ・アクセスを制御する上述の方法が、限られた機能を有する比較的単純なパッシブ型RFID装置で実行されうるという利点を更に提供する。従って、上述のRFID装置を用いることは、対偽造製品のための効率的な解決策を提供する。これにより、新たな設備にかかるコストや投資を低く抑えることができる。
【0051】
本発明のある実施例によると、前記物理的にクローン化不可能な機能は、前記RFID装置と分離できない。RFID装置とのデータ・アクセスを制御する上述の方法と関連して既に述べたように、これは、PUFがRFID装置チップと分離不可能に結合されている場合に実現されうる。これは、チップからPUFを取り除く又はPUFの如何なる改竄の試みも、RFID装置全体のPUF及び/又はチップの破壊をもたらすという利点を提供する。
【0052】
本発明の更に別の態様によると、データ・プロセッサーを有するRFID装置が提供される。RFID読み取り装置は、上述のように、第1のチャレンジ信号と同一の第2のチャレンジ信号を送信することにより、RFID装置と通信する。本発明のこの態様は、上述のRFID読み取り装置とRFID装置との間の通信チャンネルを開始する前に、RFID読み取り装置がRFID装置を認証しなければならないという考えに基づく。これは、RFID読み取り装置が適切なチャレンジ信号を知っている場合のみ、RFID読み取り装置がRFID装置のデータ・メモリーにアクセスできることを意味する。従って、第2のチャレンジ信号はパスワードとして解釈され、第2のチャレンジ信号が第1のチャレンジ信号と同一の場合に、RFID読み取り機がRFID装置とデータ通信を開始することを可能にする。
【0053】
本発明の別の態様によると、RFIDシステムが提供される。当該RFIDシステムは、(a)上述のRFID装置、及び(b)上述のRFID読み取り装置に対応する第1のRFID読み取り装置、を有する。
【0054】
本発明のこの態様は、上述のRFID装置と上述のRFID装置と上述読み取り装置が、2以上のエンティティを有する製品の供給チェーンに対し効率的なパスワード・セキュリティ・システムが確立されるように、組み合わせ可能であるという考えに基づく。これにより、製品は、供給チェーンのいかなるエンティティもタグ付けされた製品を識別できるように、上述のRFID装置を備えられる。しかしながら、この識別は、認証された団体又はエンティティによってのみ実行される。これは、偽造製品を容易に識別できるので、製品のセキュリティを有意に向上させる。
【0055】
物理的にクローン化不可能な機能の上述の特性は、製品の偽造者が真正なRFID装置を複製し偽造製品に取り付けられないことを更に保証する。このようなRFIDタグを複製する可能性は、真正製品が更に共有される前に、偽造者が偽造製品を供給チェーンに不正に導入することを可能にしてしまう。この場合に、複製されたRFID装置を読み取ることにより、供給チェーンの下流のエンティティは、偽造製品を真正製品とみなしてしまう。しかしながら、PUFは複製できないので、もはや偽造製品を不正に出荷することは当然不可能になる。
【0056】
本発明のある実施例によると、RFIDシステムは、上述のRFID読み取り装置に相当する第2のRFID装置と上述読み取り機読み取り装置、を更に有する。これにより、第1のRFID読み取り装置は、製品供給チェーンの第1のエンティティに割り当てられ、第2のRFID読み取り装置は製品供給チェーンの第2のエンティティに割り当てられる。
【0057】
これは、適切なチャレンジ信号を第1のエンティティから第2のエンティティへ転送することにより、効率的且つ信頼できるパスワード・セキュリティ及びパスワード管理システムが確立されるという利点を提供する。これにより、第1のエンティティは、例えば、RFID装置を適切な方法で最初に設定する、RFID装置の製造者であってよい。第2のエンティティは、例えば、偽造製品の供給チェーンへの導入を防ぐために、上述のRFID装置を製造した製品に取り付ける、製品の製造者であってよい。この点について、製品チェーンの全ての関与する団体が、(a)適切なRFID読み取り装置にアクセスでき、(b)RFID装置のPUFに同一の、データ・メモリーに格納されているレスポンス信号を生成させる、現在のチャレンジ信号を知っている場合に、効率的に防止できる。
【0058】
勿論、製品供給チェーンは、卸売業者、小売業者、及び顧客のような更なる団体を有する。次に、適切なチャレンジ信号をこれらの団体に送信することにより、製品の完全性が容易に検査でき、偽造製品は直ちに識別され、製品供給チェーンから除去される。
【0059】
留意すべき点は、本発明の実施例が異なる対象に関して記載されていることである。特に、いくつかの実施例は方法の請求項に関して記載され、他の実施例は装置の請求項に関して記載されている。しかしながら、当業者は上述及び以下の記載から収穫をうるだろう。当該記載には、特に言及しない場合には1種類の対象に属する特徴の如何なる組合せに加え、異なる対象に関連する特徴同士、特に方法の請求項の特徴と装置の請求項の特徴との間の如何なる組合せも本願明細書に開示されていると考えられる。
【0060】
本発明の上述の態様、及び更なる態様は、以下に記載される実施例から明らかであり、実施例を参照して説明される。本発明は、実施例を参照して以下により詳細に記載されるが、これらに限定されない。
【図面の簡単な説明】
【0061】
【図1】RFID読み取り装置と物理的にクローン化不可能なRFID装置を有するRFIDシステムを示す。
【図2A】第1のRFID読み取り装置によるRFID装置の設定、及び第2のRFID読み取り装置とRFID装置との間のデータ接続の確立を説明する概略図である。
【図2B】第2のRFID読み取り装置によるパスワード・リセット手順、及び第3のRFID読み取り装置とRFID装置との間のデータ接続の確立を説明する概略図である。
【図3】製品を真正製品又は偽造製品と信頼性をもって特徴付けるためにRFID装置を備えた製品を示す。
【図4】製造者から開始し小売業者で終了する製品供給チェーンの製品の安全性を向上させる方法を説明するフローチャートである。
【発明を実施するための形態】
【0062】
図中の説明は概略である。留意すべき点は、図中、同様又は同一の要素は、同一の参照符号、又は対応する最初の桁のみが異なる参照符号を有することである。
【0063】
図1は、RFID読み取り装置110と物理的にクローン化不可能なRFID装置130を有するRFIDシステム100を示す。RFID装置は、RFIDタグ130であってよい。
【0064】
RFID読み取り装置110は、電子回路115と、アンテナ124を有する。アンテナ124は、RF無線信号をRFID装置130へ送信し、及びRFID装置130から後方散乱されたRF無線信号を受信するために用いられる。
【0065】
電子回路115は、所謂、振幅偏移変調(ASK)変調器116を有する。ASK変調器116の動作は、駆動信号116aにより開始される。駆動信号116aは、RFID読み取り装置110のデータ・プロセッサー118により直接的に又は間接的に生成される。ASK変調器116は、発振回路120の一部である信号注入ユニット121を介して発振回路120と結合される。発振回路120は、抵抗器122、キャパシター123、及びアンテナ124を更に有する。
【0066】
RFID読み取り装置110とRFID装置130との間の通信は、RFID読み取り装置110からチャレンジ信号を、アンテナ124を用いて、RFID装置130へ送信することにより開始する。以下に詳細に説明するように、チャレンジ信号はパスワードを表し、パスワードが正しいとき、RFID読み取り装置110とRFID装置130との間のデータ通信を開始する。
【0067】
RFID読み取り装置110とRFID装置130との間のデータ接続が開始した場合、チャレンジ信号は、RFID読み取り装置130に、RFID読み取り装置110へ符号化信号を返送させる。この符号化信号は、アンテナ124により拾われる。
【0068】
この符号化信号をアンテナ124、発振回路120からそれぞれ抽出するために、帯域通過フィルター125が用いられる。帯域通過フィルター125は、増幅器126を介して復調器127と接続される。復調器127は、情報を表すデジタル入力データ129を供給し、RFID装置130からRFID読み取り装置110へ送信される。
【0069】
RFID読み取り装置130は、RFIDチップ135と、通信インターフェース145を有する。RFIDチップ135は、標準的に適切な筐体により保護され、RFID回路136を有する。RFID回路136は、物理的にクローン化不可能な機能(PUF)、データ・メモリー138、及び処理素子139を有する。PUFの機能及び可能な設計は、既に上述の通りである。従って、上述の本発明の概要を参照すべきである。
【0070】
RFID装置130がRFID読み取り装置110により開始されると、RFID回路136は2進変調コードを提供する。この2進変調コードは、アンテナ素子146とキャパシター147とを有する発振回路を駆動する。ダイオード141とキャパシター140は、RFID回路136と発振回路との間の適切な結合を提供するために用いられる。
【0071】
図2Aは、第1のRFID読み取り装置210aによるRFID装置230の設定を説明する概略図である。図は、第2のRFID読み取り装置210bとRFID装置230との間のデータ接続の開始を更に説明する。第1のRFID読み取り装置210aは、供給チェーンの第1のエンティティ250aに割り当てられる。第2のRFID読み取り装置210bは、供給チェーンの第2のエンティティ250bに割り当てられる。
【0072】
RFID装置230の設定は、第1のチャレンジ信号C1をRFID装置230へ送信することを含む。RFID装置230は、第1のチャレンジ信号C1で、自身の物理的にクローン化不可能な機能(PUF)237にチャレンジする。PUF237は、固有であるが予測不可能な第1のレスポンス信号R1を生成する。「固有」は、異なるRFID装置230に対し、異なるレスポンス信号が生成されることを意味する。「予測不可能」は、レスポンス信号R1が分かっている場合に、対応するチャレンジ信号C1を見付けるのが、少なくとも非常に困難な又は不可能であることを意味する。従って、レスポンス信号の値の抽出は、安全でなければならないが、秘密でなくてもよい。
【0073】
レスポンス信号R1は、RFID装置230のデータ・メモリー238に格納される。
【0074】
第2のエンティティ250bに割り当てられている第2のRFID読み取り装置210bを認証するために、第1のチャレンジ信号C1は、第1のRFID読み取り装置210aから第2のRFID読み取り装置210bへ安全な方法で転送される。第2のRFID読み取り装置210bとRFID装置230との間のデータ接続を開始するために、第2のRFID読み取り装置210bは、第2のチャレンジ信号C2をRFID装置230へ送信し、RFID装置230は、この第2のチャレンジ信号C2で、自身のPUF237にチャレンジする。PUF237は、第2のレスポンス信号R2を生成する。RFID装置230の処理素子239は、2つのレスポンス信号R2とR1を互いに比較する。
【0075】
この比較が2つのレスポンス信号R2とR1が同一でないと示す場合、第2のRFID読み取り装置210bは、RFID装置230と更に通信することができない。結果として、RFIDタグ230が取り付けられ得る製品は、偽造製品である可能性がある。
【0076】
2つのレスポンス信号R2とR1が同一である場合、第2のRFID読み取り装置210bとRFID装置230との間のデータ接続が開始される。RFID装置230の識別コードIDは、データ・メモリー238から抽出される。この識別コードIDは、電子製品コードEPCであってよい。更に、例えば識別コードIDを抽出した時間を示す第1のタイムスタンプTS1は、データ・メモリー238に書き込まれる。
【0077】
図2Bは、第2のRFID読み取り装置210bによるパスワード・リセット手順、及び第3のRFID読み取り装置210cとRFID装置230との間のデータ接続の確立を説明する概略図である。第3のRFID読み取り装置210cは、供給チェーンの第3のエンティティ250cに割り当てられる。
【0078】
パスワード・リセット手順は、適切な第2のチャレンジ信号C2と第3のチャレンジ信号C3の両方を有する終話信号を送信する段階を有する。
【0079】
第2のチャレンジ信号C2は、第1のチャレンジ信号C1と同一である。従って、第2のRFID読み取り装置210bとRFID装置との間の更なる通信が可能である。第3のチャレンジ信号C3に応答して、PUF237は、第3のレスポンス信号R3を生成し、データ・メモリー238に格納され、前に格納された第1のレスポンス信号R1を置き換える。第3のエンティティ250cに割り当てられている第3のRFID読み取り装置210cを認証するために、第3のチャレンジ信号C3は、第2のRFID読み取り装置210bから第3のRFID読み取り装置210cへ安全な方法で転送される。
【0080】
第3のRFID読み取り装置210cとRFID装置230との間のデータ接続を開始するために、第3のRFID読み取り装置210cは、RFID装置230へ第4のチャレンジ信号C4を送信する。RFID装置230は、第4のチャレンジ信号C4で自身のPUF237にチャレンジする。また、PUF237は、第4のレスポンス信号R4を生成する。RFID装置230の処理素子239は、2つのレスポンス信号R4とR3を互いに比較する。
【0081】
この比較が2つのレスポンス信号R4とR3が同一でないと示す場合、第3のRFID読み取り装置210cは、RFID装置230と更に通信することができない。結果として、RFIDタグ230が取り付けられ得る製品は、偽造製品である可能性がある。
【0082】
2つのレスポンス信号R4とR3が同一である場合、第3のRFID読み取り装置210cとRFID装置230との間のデータ接続が開始される。RFID装置230の識別コードID、電子製品コードEPCは、それぞれデータ・メモリー238から抽出される。更に、例えば第3のRFID読み取り装置210cにより識別コードIDを抽出した時間を示す第2のタイムスタンプTS2は、データ・メモリー238に書き込まれる。
【0083】
図3は、RFID装置330を備えた製品305を示す。上述のようにRFID装置330がRFID装置と対応する場合、製品305は、真正製品として又は偽造製品として信頼性をもって特徴付けられる。留意すべき点は、製品305の種類に依存して、RFID装置330は、製品305の包装にしっかりと取り付けられることである。このような包装へのタグ付けは、例えば、製品305が薬又は一服の薬であるときに適している。
【0084】
図4は、製造者450bから開始し小売業者450dで終了する製品供給チェーンの製品の安全性を向上させる方法を説明するフローチャートである。上述の実施例によると、製造者は製薬会社450bであり、小売業者はそれぞれ薬剤の小売業者、薬局450dである。薬は、上述のRFID装置330、230、130に対応するRFID装置でタグ付けされる。
【0085】
方法は、4つの段階S1、S2、S3、S4で開始し、RFID装置の製造者450aにより実行される。それにより、RFID装置は、初期設定される。
【0086】
段階S1で、製造者450aは、固有の識別コードIDを各RFID装置Tiに書き込む。この識別コードIDは、RFID装置Tiが製品にしっかりと取り付けられるときに、電子製品コードを各RFID装置Tiに割り当てるために用いられる。
【0087】
段階S2で、RFID装置の製造者450aは、共通の第1のチャレンジ信号C1をRFID装置Tiの全部へ送信する。強調すべき点は、第1のチャレンジ信号C1がRFID装置Tiのそれぞれに対し同一であることである。
【0088】
段階S3で、(a)各RFID装置Tiは、共通の第1のチャレンジ信号C1で自身のPUFにチャレンジし、(b)各RFID装置TiのPUFは、個々の第1のレスポンス信号R1を生成し、(c)この個々の第1のレスポンス信号R1は、各RFID装置Ti毎に異なり、各RFID装置Tiの対応するデータ・メモリーに書き込まれる。
【0089】
段階S4で、RFID装置の製造者450aは、共通の第1のチャレンジ信号C1を設定されたRFID装置Tiの一群へ送信し、対応する共通の第1のチャレンジ信号C1を製薬会社450bへ送信する。これにより、チャレンジ信号C1の送信は、電子的に実行される。しかしながら、この送信は、例えば良く知られた暗号化手順を用いることにより、秘密に実行される。方法は、更なる段階S5、S6、S7、S8a/S8b、S9、S10、及びS11へと続く。これらの段階は製薬会社450bにより実行される。これにより、RFID装置は、薬の包装に取り付けられ、更なる情報がRFID装置のデータ・メモリーに書き込まれる。
【0090】
段階S5で、RFID装置Tiは、製品、薬Piにそれぞれ取り付けられる。それにより、各RFID装置の識別コードIDと、対応する適切な方法で包装された薬との間の相関データが得られ、サーバーに格納される。留意すべき点は、段階S5、つまりRFIDタグを取り付ける手順は、後続の段階S6、S7、S8a/S8b、S9、及び/又はS10の後に実行されてもよいことである。
段階S6で、製薬会社は、共通の第2のチャレンジ信号C2を各RFID装置Tiへ送信する。
【0091】
段階S7で、各RFID装置Tiは、(a)共通の第2のチャレンジ信号C2で自身のPUFにチャレンジし、及び各RFID装置TiのPUFは、(b)個々の第2のレスポンス信号R2を生成する。
【0092】
段階S8で、RFID装置Ti毎に異なるこの個々の第2のレスポンス信号R2は、各RFID装置Tiのデータ・メモリーに実際に格納されている第1のレスポンス信号R1と比較される。
【0093】
第2のレスポンス信号R2が第1のレスポンス信号R1と等しくない場合、偽造RFID装置Tiが識別されたことを示し、方法は、段階S8aに進む。製薬会社450aのRFID読み取り装置とRFID装置Tiとの間では、もはや更なるデータ・アクセスができない。
【0094】
第2のレスポンス信号R2が第1のレスポンス信号R1と等しい場合、RFID装置Tiが真正なタグであることを示し、方法は、段階S8bに進む。各RFID装置Tiと製薬会社450aのRFID読み取り装置との間のデータ接続が開始される。
【0095】
段階S9で、各RFID装置Tiのデータ・メモリーに格納されている識別コードIDが抽出され、タイムスタンプTS1が各RFID装置Tiに書き込まれる。
【0096】
段階S10で、各データ・メモリーに格納された、共通のチャレンジ信号と関連付けられた、個々のレスポンス信号に対応するパスワードは、RFID装置製造者450aがRFID装置Tiともはや通信できないようにするため、リセットされる。リセット手順では、終話信号はRFID装置Tiへ送信される。終話信号は、第1のチャレンジ信号C1と第3のチャレンジ信号C3を有する。第1のチャレンジ信号C1を受け付け、データ接続を開始した後、各RFID装置TiのPUFは、第3のレスポンス信号R3を、第3のチャレンジ信号C3に基づき生成する。第3のレスポンス信号R3は、RFID装置のデータ・メモリーに書き込まれる。それにより、第3のレスポンス信号R3は、予め格納されていた第1のレスポンス信号R1を置き換える。
【0097】
段階S11で、製薬会社450bは、それぞれRFID装置Tiを取り付けられた一群の製品/薬Pi、及び対応する第3のチャレンジ信号C3を、薬品卸売業者450cに送信する。また、第3のチャレンジ信号C3の送信は、安全に実行される。
【0098】
方法は、更なる段階S12、S13、S14a/S14b、S15、S16、及びS17へ進む。これらの段階は、薬品卸売業者450cにより実行される。
【0099】
段階S12で、薬品卸売業者450cは、共通の第4のチャレンジ信号C4を、特定の薬、薬の包装にそれぞれ取り付けられている各RFID装置Tiへ送信する。
【0100】
段階S13で、(a)各RFID装置Tiは、共通の第4のチャレンジ信号C4で、自身のPUFにチャレンジし、(b)各RFID装置のPUFは、個々の第4のレスポンス信号R4を生成する。
【0101】
段階S14で、RFID装置Ti毎に異なるこの個々の第4のレスポンス信号R4は、各RFID装置Tiのデータ・メモリーに実際に格納されている第3のレスポンス信号R3と比較される。第4のレスポンス信号R4が第3のレスポンス信号R3と等しくない場合、偽造製品/薬である偽造RFID装置Tiが識別されたことを示し、方法は、段階S14aに進む。製薬会社450cのRFID読み取り装置とRFID装置Tiとの間では、もはや更なるデータ・アクセスができない。偽造製品Piは、供給チェーンから除去される。
【0102】
第4のレスポンス信号R4が第3のレスポンス信号R3と等しい場合、製品/薬であるRFID装置Tiは真正であると識別されたことを示し、方法は、段階S14bに進む。各RFID装置Tiと薬品卸売業者450cのRFID読み取り装置との間のデータ接続が開始される。
【0103】
段階S15で、薬品卸売業者450cは、各RFID装置Ti識別コードIDを抽出し、第2のタイムスタンプTS21を各RFID装置Tiに書き込む。
【0104】
段階S16で、各データ・メモリーに現在格納されている、共通のチャレンジ信号と関連付けられた、個々のレスポンス信号に対応するパスワードは、製薬会社450bがRFID装置Tiともはや通信できないようにするため、リセットされる。リセット手順では、更なる終話信号はRFID装置Tiへ送信される。更なる終話信号は、第3のチャレンジ信号C3と第5のチャレンジ信号C5を有する。第3のチャレンジ信号C3を受け付け、データ接続を開始した後、各RFID装置TiのPUFは、第5のレスポンス信号R5を、第5のチャレンジ信号C5に基づき生成する。第5のレスポンス信号R5は、RFID装置のデータ・メモリーに書き込まれる。それにより、第5のレスポンス信号R5は、予め格納されていた第3のレスポンス信号R3を置き換える。
【0105】
段階S17で、薬品卸売業者450cは、それぞれRFID装置Tiを取り付けられた一群の製品Pi、及び対応する第5のチャレンジ信号C5を、小売業者450dに送信する。また、第5のチャレンジ信号C5は、安全な方法で送信される。方法は、更なる段階S18、S19、S20、S20a/S20b、S21へ進む。これらの段階は、薬品小売業者、薬局450dによりそれぞれ実行される。
【0106】
段階S18で、薬局450dは、共通の第6のチャレンジ信号C6を、特定の薬、薬の包装にそれぞれ取り付けられている各RFID装置Tiへ送信する。
【0107】
段階S19で、各RFID装置Tiは、(a)共通の第6のチャレンジ信号C6で、自身のPUFにチャレンジし、及び各RFID装置TiのPUFは、(b)個々の第6のレスポンス信号R6を生成する。
【0108】
段階S20で、この個々の第6のレスポンス信号R6は、各RFID装置Tiのデータ・メモリーに現在格納されている第5のレスポンス信号R5と比較される。第6のレスポンス信号R6が第5のレスポンス信号R5と等しくない場合、偽造製品/薬である偽造RFID装置Tiが識別されたことを示し、方法は、段階S20aに進む。もはやデータ・アクセスは可能ではなく、偽造製品Piは、供給チェーンから除去される。第6のレスポンス信号R6が第5のレスポンス信号R5と等しい場合、製品/薬であるRFID装置Tiは真正であると識別されたことを示し、方法は、段階S20bに進む。各RFID装置Tiと薬局450dのRFID読み取り装置との間のデータ接続が開始される。
【0109】
段階S21で、薬局450dは、真正な製品/薬Piのうちの1つをそれぞれ顧客、患者に販売する。患者のプライバシーを守るため、薬局450dは、RFID装置Tiを無効にする。しかしながら、RFID装置Tiは、動作し続け、例えば異なる薬のセルフライフの最大化に関する自動制御を維持するために、患者がRFID装置Tiのデータ・メモリーに格納されている情報を更に用いることもできる。
【0110】
留意すべき点は、「有する」の語が他の要素又は段階を排除しないこと、及び単数を表す語が複数を排除しないことである。また異なる実施例と関連付けられて記載された要素は結合されて良い。また留意すべき点は、請求項の参照符号が、請求項の範囲を制限すると見なされるべきではないことである。
【0111】
上述の本発明の実施例を以下に要約する。
【0112】
RFID装置230とのデータ・アクセスを制御する方法が開示された。それにより、RFID装置230がRFID読み取り装置210bと通信する前に、RFID読み出し装置210bは自身をRFID装置230に認証させる。RFID装置230は、物理的にクローン化不可能な機能237を備えられ、予め定められたチャレンジ信号C1、C2を受信すると、固有であるが予測できないレスポンス信号R1、R2を生成する。RFID装置の記録中に、第1のチャレンジ信号C1と一意的に関連付けられている第1のレスポンス信号R1は、RFID装置230のメモリー238に格納される。第1のチャレンジ信号C1は、RFID装置230との更なるデータ通信を開始するためのパスワードを表す。RFID読み取り装置が第2のチャレンジ信号C2でRFID装置230に問い合わせるとき、RFID装置230は、対応するレスポンス信号R2を、記録中に格納されたレスポンスR1と比較する。また、一致した場合のみ、自身の識別子IDで応答する。
【符号の説明】
【0113】
100 RFIDシステム
110 RFID読み取り装置
115 電子回路
116 振幅偏移変調器/ASK変調器
116a 駆動信号
118 データ・プロセッサー
120 発振回路
121 信号注入ユニット
122 抵抗器
123 キャパシター
124 アンテナ
125 帯域通過フィルター
126 増幅器
127 復調器
129 出力データ
130 RFID装置/RFIDタグ
135 RFIDチップ
136 RFID回路
137 物理的にクローン化不可能な機能(PUF)
138 データ・メモリー
139 処理素子
140 キャパシター
141 ダイオード
145 通信インターフェース
146 アンテナ素子
147 キャパシター
210a 第1のRFID読み取り装置
210b 第2のRFID読み取り装置
210c 第3のRFID読み取り装置
230 RFID装置/RFIDタグ
237 物理的にクローン化不可能な機能(PUF)
238 データ・メモリー 239 処理素子
250a 第1のエンティティ/第1の団体
250b 第1のエンティティ/第1の団体
250c 第1のエンティティ/第1の団体
C1 第1のチャレンジ信号
R1 第1のレスポンス信号
C2 第2のチャレンジ信号
R2 第2のレスポンス信号
C3 第3のチャレンジ信号
R3 第3のレスポンス信号
C4 第4のチャレンジ信号
R4 第4のレスポンス信号
ID 識別コード
EPC 電子製品コード
TS1 第1のタイムスタンプ
TS2 第2のタイムスタンプ
305 製品/薬の包装
330 RFID装置/RFIDタグ
450a 第1のエンティティ/RFID装置製造者
450b 第2のエンティティ/製薬会社
450c 第3のエンティティ/薬品卸売業者
450d 第3のエンティティ/薬品小売業者/薬局
S1 固有の識別コードIDを各RFID装置Tiに書き込む
S2 共通の第1のチャレンジ信号C1を各RFID装置Tiへ送信する
S3 各RFID装置Ti:C1でPUFにチャレンジし、個々の第1のレスポンス信号R1を生成し、R1をデータ・メモリーに書き込む
S4 一群の設定されたRFID装置Ti及び対応するC1を、製薬会社へ送信する
S5 RFID装置Tiを製品Piに取り付ける
S6 共通の第2のチャレンジ信号C2をそれぞれ取り付けられたRFID装置Tiへ送信する
S7 各RFID装置Ti:C2でPUFにチャレンジし、個々の第2のレスポンス信号R2を生成する
S8 各RFID装置Ti:R2をR1と比較する
S8a R2がR1と等しくない場合:偽造RFID装置の識別、もはやデータ・アクセスできない
S8b R1がR1と等しい場合:RFID装置Tiは真正なタグであることを示し、各RFID装置TiとRFID読み取り装置との間のデータ接続を開始する
S9 各RFID装置TiからIDを抽出し、タイムスタンプTS1を各RFID装置Tiに書き込む
S10 第1のチャレンジ信号C1と第3のチャレンジ信号C3とを有する終話信号を送信することによりパスワードをリセットし、個々の第3のレスポンス信号R3を生成し、R3をデータ・メモリーに書き込む
S11 RFID装置Ti及び対応するC3を取り付けられた一群の製品Piを、卸売業者へ送信する
S12 共通の第4のチャレンジ信号C4をそれぞれ取り付けられたRFID装置Tiへ送信する S13 各RFID装置Ti:C4でPUFにチャレンジし、個々の第4のレスポンス信号R4を生成する
S14 各RFID装置Ti:R4をR3と比較する
S14a R4がR3と等しくない場合:偽造製品Piの識別、製品Piを供給チェーンから除去する
S14b R4がR3と等しい場合:製品Piは真正製品であることを示し、各RFID装置TiとRFID読み取り装置との間のデータ接続を開始する
S15 各RFID装置TiからIDを抽出し、タイムスタンプTS2を各RFID装置Tiに書き込む
S16 第3のチャレンジ信号C3と第5のチャレンジ信号C5とを有する終話信号を送信することによりパスワードをリセットし、個々の第5のレスポンス信号R5を生成し、R5をデータ・メモリーに書き込む
S17 RFID装置Ti及び対応するC5を取り付けられた一群の製品Piを、小売業者へ送信する
S18 共通の第6のチャレンジ信号C6をそれぞれ取り付けられたRFID装置Tiへ送信する
S19 各RFID装置Ti:C6でPUFにチャレンジし、個々の第6のレスポンス信号R6を生成する S20 各RFID装置Ti:R6をR5と比較する
S20a R6がR5と等しくない場合:偽造製品Piの識別、製品Piを供給チェーンから除去する
S20b R6がR5と等しい場合:製品Piは真正製品であることを示す
S21 製品Tiを顧客に販売し、RFID装置Tiを無効にする
【特許請求の範囲】
【請求項1】
方法であって、データ・メモリー及び物理的にクローン化不可能な機能を有するRFID装置とのデータ・アクセスを制御し、
−前記物理的にクローン化不可能な機能は、所定のチャレンジ信号を受信すると、固有であるが予測できないレスポンス信号を生成し、
−前記方法は:
−第1のチャレンジ信号を前記RFID装置へ送信する段階、
−前記物理的にクローン化不可能な機能により、前記第1のチャレンジ信号に基づき、第1のレスポンス信号を生成する段階、
−前記第1のレスポンス信号を前記RFID装置の前記データ・メモリーに格納する段階、
−前記RFID装置へ、第2のチャレンジ信号を有する要求信号を送信する段階、
−前記物理的にクローン化不可能な機能により、前記第2のチャレンジ信号に基づき、第2のレスポンス信号を生成する段階、
−前記第2のレスポンス信号と前記第1のレスポンス信号とを比較する段階、及び
−前記第2のレスポンス信号が前記第1のレスポンス信号と同一である場合、前記RFID装置にデータ・アクセスを提供する段階、を有する、方法。
【請求項2】
前記物理的にクローン化不可能な機能は、前記RFID装置と分離できない、請求項1記載の方法。
【請求項3】
前記RFID装置の前記データ・メモリーに格納されている前記データは、個々の識別データであり、特に、製品又は品目の電子製品コード(EPC)を表し、前記RFID装置でタグ付けされる、請求項1記載の方法。
【請求項4】
−前記第1のチャレンジ信号を前記RFID装置へ送信する段階は、第1のエンティティにより実行され、
−前記RFID装置へ、第2のチャレンジ信号を有する要求信号を送信する段階は、第2のエンティティにより実行され、及び
前記方法は:
−前記第1のチャレンジ信号を前記第1のエンティティから前記第2のエンティティへ安全な方法で送信する段階、を更に有する、請求項1記載の方法。
【請求項5】
前記RFID装置を製品に取り付ける段階、を更に有する請求項1記載の方法。
【請求項6】
前記第2のレスポンス信号が前記第1のレスポンス信号と同一である場合に、前記RFID装置の前記データ・メモリーにデータを書き込む段階、を更に有する請求項1記載の方法。
【請求項7】
−前記第2のレスポンス信号が前記第1のレスポンス信号と同一の場合に、第3のチャレンジ信号を前記RFID装置へ送信する段階、
−前記物理的にクローン化不可能な機能により、前記第3のチャレンジ信号に基づき、第3のレスポンス信号を生成する段階、及び
−前記第3のレスポンス信号を前記RFID装置の前記データ・メモリーに格納する段階、を更に有する請求項1記載の方法。
【請求項8】
−前記第1のチャレンジ信号は、それぞれデータ・メモリーと物理的にクローン化不可能な機能とを有する複数のRFID装置へ送信され、
−前記複数のRFID装置のそれぞれで、前記個々の物理的にクローン化不可能な機能により、前記第1のチャレンジ信号に基づき個々の第1のレスポンス信号が生成され、及び
−前記複数のRFID装置のそれぞれで、前記個々の第1のレスポンス信号は、前記個々のデータ・メモリーに格納される、請求項1記載の方法。
【請求項9】
−前記第2のチャレンジ信号を有する前記要求信号は、前記複数のRFID装置を製品装置のへ送信され、
−少なくとも幾つかの前記RFID装置のそれぞれで、個々の第2のレスポンス信号は、前記個々の物理的にクローン化不可能な機能により、前記第2のチャレンジ信号に基づき生成され、
−少なくとも幾つかの前記RFID装置のそれぞれで、前記個々の第2のレスポンス信号は、前記対応する個々の第1のレスポンス信号と比較され、及び
−少なくとも幾つかの前記RFID装置のそれぞれで、前記対応する個々の第2のレスポンス信号が前記対応する第1のレスポンス信号と同一である場合に、データ・アクセスが提供される、請求項7記載の方法。
【請求項10】
RFID装置であって:
−処理素子、
−前記処理素子と結合されたデータ・メモリー、及び
−前記処理素子と結合された物理的にクローン化不可能な機能、を有し、
−前記物理的にクローン化不可能な機能は、第1のチャレンジ信号に基づき、固有の予測不可能な第1のレスポンス信号を生成し、
−前記RFID装置は、前記第1のレスポンス信号を前記データ・メモリーに格納し、
−前記物理的にクローン化不可能な機能は、第2のチャレンジ信号に基づき、固有の予測不可能な第2のレスポンス信号を生成し、
−前記処理素子は、前記第2のレスポンス信号と前記第1のレスポンス信号とを比較し、及び
−前記RFID装置は、前記第2のレスポンス信号が前記第1のレスポンス信号と同一である場合に、データ・アクセスを提供する、RFID装置。
【請求項11】
前記物理的にクローン化不可能な機能は、前記RFID装置と分離できない、請求項10記載のRFID装置。
【請求項12】
RFID読み取り装置であって、データ・プロセッサーを有し、前記RFID読み取り装置は、前記第1のチャレンジ信号と同一の第2のチャレンジ信号を送信することにより、請求項10記載のRFID装置と通信する、RFID読み取り装置。
【請求項13】
RFIDシステムであって:
−請求項10記載のRFID装置、
−請求項12記載の第1のRFID読み取り装置、を有するRFIDシステム。
【請求項14】
−請求項12記載の第2のRFID読み取り装置、を更に有し、前記第1のRFID読み取り装置は製品供給チェーンの第1のエンティティに割り当てられ、
−前記第2のRFID読み取り装置は、製品供給チェーンの第2のエンティティに割り当てられる、請求項13記載のRFIDシステム。
【請求項1】
方法であって、データ・メモリー及び物理的にクローン化不可能な機能を有するRFID装置とのデータ・アクセスを制御し、
−前記物理的にクローン化不可能な機能は、所定のチャレンジ信号を受信すると、固有であるが予測できないレスポンス信号を生成し、
−前記方法は:
−第1のチャレンジ信号を前記RFID装置へ送信する段階、
−前記物理的にクローン化不可能な機能により、前記第1のチャレンジ信号に基づき、第1のレスポンス信号を生成する段階、
−前記第1のレスポンス信号を前記RFID装置の前記データ・メモリーに格納する段階、
−前記RFID装置へ、第2のチャレンジ信号を有する要求信号を送信する段階、
−前記物理的にクローン化不可能な機能により、前記第2のチャレンジ信号に基づき、第2のレスポンス信号を生成する段階、
−前記第2のレスポンス信号と前記第1のレスポンス信号とを比較する段階、及び
−前記第2のレスポンス信号が前記第1のレスポンス信号と同一である場合、前記RFID装置にデータ・アクセスを提供する段階、を有する、方法。
【請求項2】
前記物理的にクローン化不可能な機能は、前記RFID装置と分離できない、請求項1記載の方法。
【請求項3】
前記RFID装置の前記データ・メモリーに格納されている前記データは、個々の識別データであり、特に、製品又は品目の電子製品コード(EPC)を表し、前記RFID装置でタグ付けされる、請求項1記載の方法。
【請求項4】
−前記第1のチャレンジ信号を前記RFID装置へ送信する段階は、第1のエンティティにより実行され、
−前記RFID装置へ、第2のチャレンジ信号を有する要求信号を送信する段階は、第2のエンティティにより実行され、及び
前記方法は:
−前記第1のチャレンジ信号を前記第1のエンティティから前記第2のエンティティへ安全な方法で送信する段階、を更に有する、請求項1記載の方法。
【請求項5】
前記RFID装置を製品に取り付ける段階、を更に有する請求項1記載の方法。
【請求項6】
前記第2のレスポンス信号が前記第1のレスポンス信号と同一である場合に、前記RFID装置の前記データ・メモリーにデータを書き込む段階、を更に有する請求項1記載の方法。
【請求項7】
−前記第2のレスポンス信号が前記第1のレスポンス信号と同一の場合に、第3のチャレンジ信号を前記RFID装置へ送信する段階、
−前記物理的にクローン化不可能な機能により、前記第3のチャレンジ信号に基づき、第3のレスポンス信号を生成する段階、及び
−前記第3のレスポンス信号を前記RFID装置の前記データ・メモリーに格納する段階、を更に有する請求項1記載の方法。
【請求項8】
−前記第1のチャレンジ信号は、それぞれデータ・メモリーと物理的にクローン化不可能な機能とを有する複数のRFID装置へ送信され、
−前記複数のRFID装置のそれぞれで、前記個々の物理的にクローン化不可能な機能により、前記第1のチャレンジ信号に基づき個々の第1のレスポンス信号が生成され、及び
−前記複数のRFID装置のそれぞれで、前記個々の第1のレスポンス信号は、前記個々のデータ・メモリーに格納される、請求項1記載の方法。
【請求項9】
−前記第2のチャレンジ信号を有する前記要求信号は、前記複数のRFID装置を製品装置のへ送信され、
−少なくとも幾つかの前記RFID装置のそれぞれで、個々の第2のレスポンス信号は、前記個々の物理的にクローン化不可能な機能により、前記第2のチャレンジ信号に基づき生成され、
−少なくとも幾つかの前記RFID装置のそれぞれで、前記個々の第2のレスポンス信号は、前記対応する個々の第1のレスポンス信号と比較され、及び
−少なくとも幾つかの前記RFID装置のそれぞれで、前記対応する個々の第2のレスポンス信号が前記対応する第1のレスポンス信号と同一である場合に、データ・アクセスが提供される、請求項7記載の方法。
【請求項10】
RFID装置であって:
−処理素子、
−前記処理素子と結合されたデータ・メモリー、及び
−前記処理素子と結合された物理的にクローン化不可能な機能、を有し、
−前記物理的にクローン化不可能な機能は、第1のチャレンジ信号に基づき、固有の予測不可能な第1のレスポンス信号を生成し、
−前記RFID装置は、前記第1のレスポンス信号を前記データ・メモリーに格納し、
−前記物理的にクローン化不可能な機能は、第2のチャレンジ信号に基づき、固有の予測不可能な第2のレスポンス信号を生成し、
−前記処理素子は、前記第2のレスポンス信号と前記第1のレスポンス信号とを比較し、及び
−前記RFID装置は、前記第2のレスポンス信号が前記第1のレスポンス信号と同一である場合に、データ・アクセスを提供する、RFID装置。
【請求項11】
前記物理的にクローン化不可能な機能は、前記RFID装置と分離できない、請求項10記載のRFID装置。
【請求項12】
RFID読み取り装置であって、データ・プロセッサーを有し、前記RFID読み取り装置は、前記第1のチャレンジ信号と同一の第2のチャレンジ信号を送信することにより、請求項10記載のRFID装置と通信する、RFID読み取り装置。
【請求項13】
RFIDシステムであって:
−請求項10記載のRFID装置、
−請求項12記載の第1のRFID読み取り装置、を有するRFIDシステム。
【請求項14】
−請求項12記載の第2のRFID読み取り装置、を更に有し、前記第1のRFID読み取り装置は製品供給チェーンの第1のエンティティに割り当てられ、
−前記第2のRFID読み取り装置は、製品供給チェーンの第2のエンティティに割り当てられる、請求項13記載のRFIDシステム。
【図1】
【図2a】
【図2b】
【図3】
【図4】
【図2a】
【図2b】
【図3】
【図4】
【公表番号】特表2010−511953(P2010−511953A)
【公表日】平成22年4月15日(2010.4.15)
【国際特許分類】
【出願番号】特願2009−539839(P2009−539839)
【出願日】平成19年5月9日(2007.5.9)
【国際出願番号】PCT/IB2007/051747
【国際公開番号】WO2008/068644
【国際公開日】平成20年6月12日(2008.6.12)
【出願人】(590000248)コーニンクレッカ フィリップス エレクトロニクス エヌ ヴィ (12,071)
【Fターム(参考)】
【公表日】平成22年4月15日(2010.4.15)
【国際特許分類】
【出願日】平成19年5月9日(2007.5.9)
【国際出願番号】PCT/IB2007/051747
【国際公開番号】WO2008/068644
【国際公開日】平成20年6月12日(2008.6.12)
【出願人】(590000248)コーニンクレッカ フィリップス エレクトロニクス エヌ ヴィ (12,071)
【Fターム(参考)】
[ Back to top ]